TESIS María Gabriela Hernández Pinto

ESCUELA SUPERIOR POLITCNICA DEL LITORAL
Instituto de Ciencias Matemticas
Diseo de un Plan Estratgico de Seguridad de Informacin en

una empresa del sector comercial
TESIS DE GRADO
Previa a la obtencin del Ttulo de:
AUDITOR EN CONTROL DE GESTIN
Presentada por:
Mara Gabriela Hernndez Pinto
GUAYAQUIL ECUADOR
Ao: 2006
A G RA D E C I M I E N T O
A Dios, a mi mamita Albita y a
mi papito Pinto quienes
siempre han confiado en m y
me han dado su apoyo
incondicional, a mi hermano
Ivn, a Maruja, a mi familia y
a todas las personas que me
ayudaron para culminar mi
carrera.
A mi Directora de Tesis por
su gran ayuda y
colaboracin.
D E D I C ATO R IA
A Dios, a mi mamita Albita, a
mi papito Pinto, a mi
hermano Ivn, a Maruja, a
todos los que formamos la
familia Pinto, a Nelly, Fanny,
Lady, Pamela, Mariella, Lus,
Manuel, Beto y a todos mis
amigos quienes siempre de
alguna manera me ayudaron
y apoyaron.
TRIBUNAL DE GRADUACIN
Ing. Washington Armas Ing. Alice Naranjo

DIRECTOR DEL ICM DIRECTORA DE TESIS
PRESIDENTE
Ing. Juan Alvarado Ortega
VOCAL
Ing. Dalton Noboa

VOCAL
DECLARACIN EXPRESA
La responsabilidad del contenido de esta
Tesis de Grado, me corresponde
exclusivamente; y el patrimonio intelectual
de la misma a la ESCUELA SUPERIOR
POLITCNICA DEL LITORAL
(Reglamento de Graduacin de la ESPOL).
Mara Gabriela Hernndez Pinto

RESUMEN
El contenido de este trabajo ayudar a las organizaciones comerciales a
tener una concienciacin permanente de mantener seguros sus activos,
teniendo en cuenta que la palabra activo son todos los recursos informticos
o relacionados con ste para que la organizacin funcione correctamente y
alcance los objetivos propuestos por su direccin.
La meta de obtener un nivel considerable de seguridad se lograr con la
propuesta que ofrece este proyecto mediante el Diseo de un Plan
Estratgico de Seguridad de Informacin que puede ser aplicado por
entidades dedicadas a cualquier tipo de actividad comercial que se
proponga llevarlo a cabo. Este trabajo se desarrollar en los siguientes
captulos descritos a continuacin.
En el primer captulo se da a conocer la importancia, valor, razones de
vulnerabilidades y vulnerabilidades de la informacin para formarnos un
criterio del por qu es necesario mantenerla segura. En el segundo captulo
se desarrollar tericamente el objetivo de este proyecto. En el tercer
captulo se da una breve descripcin de las normas y estndares
internacionales aplicables para el desarrollo de este tema. En el cuarto
captulo lleva a la prctica este proyecto. Finalmente se dan a conocer las
conclusiones y recomendaciones de la prctica realizada para este trabajo.

INDICE GENERAL
Pg.
RESUMEN.......................................................................................................II
INDICE GENERAL.........................................................................................III
ABREVIATURAS...........................................................................................IV
INDICE DE FIGURAS.....................................................................................V
INDICE DE TABLAS......................................................................................VI
INTRODUCCIN.............................................................................................1
1. ANTECEDENTES...................................................................................
....2
2.1 Importancia de la seguridad de informacin.2
2.2 Valor y costo de la informacin para las empresas.7
2.3 Razones de vulnerabilidades de los sistemas........9
2.4 Vulnerabilidades..12
3. MARCO
TEORICO..16
3.1 Evolucin histrica de la seguridad .16
3.2 Qu es seguridad informtica?.....................................................18
2.2.1 Definicin de seguridad.19
2.2.2 Definicin de informtica...20
2.2.3 Definicin de seguridad informtica....20

2.2.4 Objetivo de la seguridad informtica...21
2.2.5 Riesgos........22
2.2.5.1 Tipos de amenazas a la seguridad ..........23
2.2.5.1.1 Amenazas humanas..25
2.2.5.1.1.1 Maliciosas....25
2.2.5.1.1.1.1 Externas.25
2.2.5.1.1.1.2 Internas...26
2.2.5.1.1.2 No maliciosas..26
2.2.5.1.2 Amenazas por desastres naturales.26
2.2.5.1.3 Otros.27
2.2.5.2 Cmo enfrentar los riesgos?........................................27
2.2.6 Plan estratgico de seguridad informtica.....28
2.2.6.1 Evaluacin de los riesgos....28
2.2.6.1.1 Identificar riesgos...29
2.2.6.1.2 Anlisis de riesgos.....31
2.2.6.1.2.1 Ponderacin de los factores de riesgos.31
2.2.6.1.2.2 Valoracin del riesgo.31
2.2.6.1.2.3 Crear la matriz descriptiva....33
2.2.6.1.2.4 Crear la matriz ponderada34
2.2.6.1.2.5 Crear la matriz categorizada35
2.2.6.2 Polticas de seguridad......34
2.2.6.2.1 Elementos de una poltica de seguridad38
3.3 Seguridad Fsica..40

2.3.1 Seguridad de acceso fsico ..42
2.3.1.1 Organizacin..42
2.3.1.1.1 Guardias de seguridad..43
2.3.1.1.1.1 Detectores de Metales...45
2.3.1.1.2 Sistemas Biomtricos....46
2.3.1.1.3 Seguridad con Animales...47
2.3.1.1.4 Proteccin Electrnica...47
2.3.1.2 rea de sistemas..48
2.3.1.2.1 Puerta con cerradura.49
2.3.1.2.2 Puerta de combinacin..50
2.3.1.2.3 Puerta electrnica..50
2.3.1.2.4 Puertas sensoriales.......50
2.3.1.2.5 Registros de entrada.....51
2.3.1.2.6 Videocmaras.....51
2.3.1.2.7 Escolta controladora para el acceso de visitantes...52
2.3.1.2.8 Puertas dobles....52
2.3.1.2.9 Alarmas....52
2.3.2 Seguridad en la ubicacin y dimensin del rea de
Sistemas...53
2.3.2.1 Ubicacin del rea....53
2.3.2.2 Dimensin del rea...54
2.3.3 Seguridad del

equipamiento.55
2.3.3.1 Aire acondicionado.......55
2.3.3.2 Instalacin elctrica y suministro de energa...57
2.3.3.2.1 Reguladores....60
.
2.3.3.2.2 UPS (Uninterruptable Power Supply/Fuente Ininterrum-
pida de Energa).....60
2.3.3.2.3 Switch de emergencia...61
2.3.3.2.4 Protecciones generales.61
2.3.3.3 Temperatura y humedad..63
2.3.3.4 Mantenimiento de los equipos....64
2.3.3.5 Seguridad de los equipos fuera de la instala-
ciones.66
2.3.3.6 Seguridad en la reutilizacin o eliminacin de equi-
pos...67
2.3.4 Seguridad en contra de incendios y humo.68
2.3.4.1 Incendios....69
2.3.4.2 Humo...72
2.3.5 Seguridad contra desastres provocados por agua...73
2.3.6 Seguridad de backups o respaldos....74
2.3.6.1 Proteccin de respaldos......76
2.3.7 Seguridad de otros equipos..80

2.3.8 Seguros.82
2.3.8.1 Cobertura de la pliza de aseguramiento........84
2.3.8.2 Trminos generales de un seguro de equipo de compu-

to......86
2.4 Seguridad Lgica.88
2.4.1 Seguridad en los accesos............89
2.4.1.1 Identificacin y autenticacin..90
2.4.1.1.1 Palabras claves o password........91
2.4.1.1.1.1 Pautas de eleccin de claves...92
2.4.1.1.1.2 Reglas para proteger una clave...94
2.4.1.1.1.3 Proteccin contra la intercepcin de claves.........98
2.4.1.2 Roles...99
2.4.1.3 Transacciones.......99
2.4.1.4 Limitaciones a los Servicios.........100
2.4.1.5 Modalidad de Acceso.....100
2.4.1.6 Ubicacin y Horario .......102
2.4.1.7 Separacin de las instalaciones de desarrollo y produ-
ccin..102
2.5 Seguridad en Redes.....104
2.5.1 Seguridad en la red interna o intranet..105
2.5.2 Seguridad en la red externa o extranet.106
2.5.2.1 Peligros en la red externa.........107

2.5.2.2 Medidas de seguridad en Internet.......108
2.5.2.2.1 Firewall o puerta de seguridad......108
2.5.2.2.1.1 Limitaciones del firewall.........109
2.5.2.2.2 Antivirus............111
2.5.2.2.2.1 Tcticas antivricas......111
2.5.2.2.2.1.1 Preparacin y prevencin............112
2.5.2.2.2.1.2 Deteccin de virus.........113
2.5.2.2.2.1.3 Contencin y recuperacin...113
2.6 Seguridad en los Recursos Humanos...114
2.6.1 Investigacin de antecedentes...115
2.6.2 Acuerdos de confidencialidad........117
2.6.3 Trminos y condiciones de la relacin laboral........118
2.6.4 Capacitacin continua y concientizacin..119
2.6.5 Segregacin de funciones......121
2.6.6 Despidos y Renuncias........122
2.7 Seguridad en Contrataciones externas o Outsourcing...123
2.7.1 Riesgos del outsourcing..123
2.7.2 Requisitos de seguridad en el outsourcing..125
2.8 Plan de Contingencia...128
2.8.1 Contenido del plan de contingencia..128
2.8.2 Etapas del plan de contingencia129
2.9 Definiciones Conceptuales..130

3 NORMAS Y/O ESTANDARES INTERNACIONALES............................139
3.1 COSO..139
3.1.1 Definicin y objetivos140
3.1.2 Fundamentos de Control Interno141
3.1.3 Componentes....141
3.1.3.1 Ambiente de control....142
3.1.3.2 Evaluacin de riesgos....144
3.1.3.3 Actividades de control147
3.1.3.4 Informacin y comunicacin..149
3.1.3.4.1 Informacin...150
3.1.3.4.1.1 Sistemas integrados a la estructura..151
3.1.3.4.1.2 Sistemas integrados a las operaciones152
3.1.3.4.1.3 La calidad de la informacin......152
3.1.3.4.2 Comunicacin...153
3.1.3.5 Supervisin y seguimiento del sistema de control...155
3.2 COBIT (Objetivos de Control para Tecnologa de Informacin
y Tecnologas relacionadas)...157
3.2.1 Misin.........158
3.2.2 Usuarios.....158
3.2.3 Caractersticas de COBIT...160
3.2.4 Principios de COBIT.160
3.2.4.1 Requerimientos de la informacin del negocio..161

3.2.4.2 Recursos de TI....163
3.2.4.3 Procesos de TI.164
3.2.4.3.1 Planeacin y organizacin.....168
3.2.4.3.1.1 Definicin de un plan estratgico..168
3.2.4.3.1.2 Evaluacin de riesgos.170
3.2.4.3.2 Adquisicin e implementacin...172

3.2.4.3.2.1 Adquisicin y mantenimiento de la infraestructura
tecnolgica172
3.2.4.3.2.2 Desarrollo y mantenimiento de procedimientos..173
3.2.4.3.3 Entrega de servicios y soporte......175
3.2.4.3.4 Administracin de servicios prestados por terce-
ros..175
3.2.4.3.4.1 Garantizar la seguridad de sistemas....177
3.2.4.3.4.2 Educacin y entrenamiento de usuarios..179
3.2.4.3.4.3 Apoyo y asistencia a los cliente de TI..180
3.2.4.3.4.4 Administracin de problemas e incidentes..181
3.2.4.3.4.5 Administracin de las instalaciones..182
3.3 Norma ISO 17799..182
3.3.1 Poltica de seguridad.......185
3.3.2 Aspectos organizativos para la seguridad.......186
3.3.3 Clasificacin y control de activos..187
3.3.4 Seguridad ligada al personal..188

3.3.5 Seguridad fsica y del entorno.......189
3.3.6 Gestin de comunicaciones y de operaciones....190
3.3.7 Control de accesos...192
3.3.8 Desarrollo y mantenimiento de sistemas..193
3.3.9 Gestin de continuidad del negocio..194
3.3.10 Conformidad con la legislacin..195
3.4 Norma ISO 27001.....196

3.4.1 ISMS (Information Security Management System/Direccin
de la seguridad de los sistemas de informacin)...198
3.4.2 Responsabilidades de la administracin..200
3.4.3 Auditoria interna del ISMS..202
3.4.4 Administracin de las revisiones del ISMS..202
3.4.5 Mejora del ISMS...203
4 CASO PRACTICO...204
4.1 Descripcin de la empresa..204
4.2 Motivos para disear un plan estratgico de seguridad de infor.-
macin.206
4.3 Objetivos....207
4.3.1 Objetivo general....208
4.3.2 Objetivos especficos...208
4.4 Alcance...208
4.5 Equipo de trabajo..210
4.6 Descripcin del entorno informtico..........210
4.6.1 Arquitectura informtica...214
4.6.1.1 Entorno de red de computadoras.214
4.6.1.2 Equipos disponibles...215
4.6.1.3 Sistema Operativo..216
4.6.1.4 Software de Sistemas y Utilitarios217
4.6.1.4.1 Lenguajes de Programacin..217

4.6.1.4.2 Sistema de aplicacin.....217
4.6.1.4.3 Software Bsico y Utilitarios...218
4.7 Identificacin de los riesgos....220
4.8 Anlisis de riesgos....220
4.8.1 Ponderacin de los factores de riesgo ....221
4.8.2 Valoracin de los riesgos...222
4.8.3 Matriz descriptiva de factores y valoracin asociada a los
recursos informticos......223
4.8.4 Matriz ponderada de factores y valoracin asociada a los
recursos informticos .....223
4.8.5 Matriz categorizada......224
4.9 Polticas de Seguridad Informtica....225
4.10 Plan Estratgico de seguridad informtica226
CONCLUSIONES Y RECOMENDACIONES
ANEXOS
BIBLIOGRAFA
ABREVIATURAS
CSI Instituto de Seguridad en Computacin
FBI Agencia Federal de San Francisco
ISO Organizacin Internacional por la Normalizacin
ISMS Information Security Management System / Direccin de la

seguridad de los istemas de informacin
TI Tecnologa de Informacin
UPS Uninterruptable Power Supply / Fuente Ininterrumpida de

Energa
INDICE DE FIGURAS
FIGURA 1.1 Prdidas por tipo de amenaza................................3
FIGURA 1.2 Tendencia de incidentes de inseguridad..................................5
FIGURA 2.1 Tipos de amenazas...............23
FIGURA 2.2 Amenazas/ Ataques detectados entre los aos

1999-2005...............................................................................24
FIGURA 3.1 Principios de COBIT............................................161
FIGURA 3.2 Niveles de COBIT...............................................165

INDICE DE TABLAS
TABLA I Valoracin del riesgo....................................................31
TABLA II Matriz descriptiva............................................................33
TABLA III Matriz ponderada...............................................................34
TABLA IV Matriz categorizada...........................................................36

INTRODUCCIN
Las tecnologas de la informacin actualmente son elementos fundamentales
para la superacin y desarrollo de un pas, la informacin que en ellas se
maneja es considerada un activo cada vez ms valioso el cual puede hacer
que una organizacin triunfe o quiebre, es por eso que debemos brindarle
seguridad.
Para iniciar el tema de seguridad informtica debemos tener claros los
conceptos de informacin, riesgo, amenaza, vulnerabilidad, incidente de
seguridad y seguridad de informacin, ya que estos trminos son muy
utilizados a lo largo del desarrollo de este tema.
Informacin: Conjunto de datos propios que se gestionan y mensajes
que se intercambian personas y/o mquinas dentro de una organizacin.
La informacin da las pruebas de la calidad y circunstancias en las que
se encuentra la empresa.
Vulnerabilidad: Cualquier debilidad en los Sistemas que pueda permitir a
las amenazas causarles daos y producir prdidas.

Amenaza: Cualquier evento que pueda provocar dao a la informacin,
produciendo a la empresa prdidas materiales, financieras o de otro tipo.
Riesgo: Es la probabilidad de que una amenaza se materialice sobre
una vulnerabilidad del Sistema Informtico, causando un impacto en la
empresa.
Incidente de seguridad: Cualquier evento que tenga, o pueda tener,
como resultado la interrupcin de los servicios suministrados por un
Sistema de Informacin y/o prdidas fsicas, de activos o financieras. En
otras palabras la materializacin de una amenaza.
Seguridad de Informacin: Un conjunto de mtodos y herramientas
destinados a proteger la informacin y por ende los sistemas informticos
ante cualquier amenaza, un proceso en el cual participan adems
personas.
La mayora de las empresas desconocen la magnitud del problema con el que
se enfrentan considerando la seguridad como algo secundario y
generalmente no se invierte el capital humano ni econmico necesario para
prevenir principalmente el dao y/o prdida de la informacin que hoy en da
con el uso de nueva tecnologa para almacenarla, transmitirla y recobrarla
est expuesta.
Las amenazas que afectan las caractersticas principales de la seguridad
como son la confidencialidad, integridad y disponibilidad de la informacin
pueden ser internas o externas, originadas accidentalmente o con un fin
perverso dejando a la organizacin con problemas como por ejemplo la
paralizacin de sus actividades que deja como resultado una perdida
cuantiosa de tiempo de produccin y dinero factores importantes para el
desarrollo de una organizacin.
En vista que en la actualidad son muchos los riesgos que afectan la
seguridad de nuestras empresas y por lo general el capital con el que se
cuenta para protegerlas no es el suficiente debemos tener identificadas y
controladas esas vulnerabilidades y esto se logra con un adecuado plan de
seguridad elaborado en base a un anlisis de riesgo previo.
Persiguiendo este objetivo que es la seguridad de la informacin, es que se
presenta este proyecto de disear un plan estratgico de seguridad de
informacin que se desarrollar en los siguientes captulos de este trabajo.

CAPTULO 1
1. ANTECEDENTES
En el presente captulo se dar a conocer la importancia de mantener
segura la informacin en la empresa para prevenir el peligro de
comprometer sus operaciones de negocios, la de sus inversores,
clientes, socios y empleados; tambin se har un breve anlisis de las
vulnerabilidades a los que est expuesta la informacin y que afectan a
su funcionamiento normal y el impacto que tiene en las organizaciones
los incidentes de seguridad.
1.1. Importancia de la Seguridad de Informacin
La informacin es importante para todas las organizaciones y sin
ella la empresa dejara de funcionar, principalmente si hablemos de
empresas altamente automatizados por lo que su seguridad sigue
siendo un punto pendiente en las empresas, basta con mirar sus
actividades para darnos cuenta que la seguridad es el factor ms
determinante por el cual fracasan las organizaciones. As nos lo
hace notar el estudio CSI/FBI ao 2005 figura 1.1, realizado por el
Instituto de Seguridad en Computacin con la participacin de la

Agencia Federal de San Francisco, escogiendo una muestra de 700
empresas de Estados Unidos, las cuales revelaron sus prdidas
causadas por tipo de amenaza de computadoras. Las prdidas
totales para el ao 2005 eran de $130,104,542 para las 700
empresas que respondieron a este estudio, mostrando la grafica que
mayores prdidas se presentan en los virus, acceso no autorizado y
el robo de informacin en comparacin a las dems problemas que
presentan las organizaciones. Se sospecha que el aumento en esas
tres amenazas podra ser efecto del abuso y uso indiscriminado del
internet por parte de los integrantes de la empresa.
Figura 1.1 Prdidas por tipo de amenaza

Fuente: CSI/FBI 2005 Computer Crime and Security Survey
Es muy importante ser conscientes de que por ms que nuestra
empresa a nuestro criterio sea la ms segura, con el incremento del

uso de nueva tecnologa para manejar la informacin nos hemos
abierto a un mayor nmero y tipos de amenazas.
Es as como lo demuestra un estudio realizado por el grupo de
seguridad Red IRIS figura 1.2 que ha tomado como poblacin a las
empresas de Espaa ya que de este pas es de donde recibe mayor
cantidad de denuncias acerca de incidentes de seguridad cuyo
objetivo ha sido el de reflejar el incremento de estos desde el ao
1999 hasta el 2005; obteniendo los siguientes resultados:
En el ao 1999 se recibieron 195 denuncias de incidentes.
En el ao 2000 hubieron 416 denuncias incrementando los
incidentes en un 113.33% con respecto al ao anterior.
En el ao 2001 recibieron 1038 denuncias con un incremento del
149.51% en relacin al ao 2000.
En el ao 2002 hubieron 1495 denuncias aumentando los
incidentes al 44.02% con respecto al ao 2001.
En el ao 2003 se recibieron 1294 denuncias un valor menor al
ao anterior reduciendo los incidentes en un 13.44% en relacin
al ao 2002.
En al ao 2004 aumentaron las denuncias a 1714 incrementando
los incidentes en un 32.45%.
Y finalmente en el ao 2005 hubo una disminucin del 27.18%
de incidentes ya que se registraron 1248.
Figura 1.2 Tendencia de incidentes de inseguridad

Fuente: http://www.rediris.es/cert/servicios/iriscert/incidentes.html
Es por eso que en el ambiente competitivo de hoy, es necesario que
las entidades aseguren la confidencialidad, integridad y
disponibilidad de la informacin vital corporativa y as evitar sufrir
amenazas de fuentes externas como los virus, hackers, troyanos

entre otros y de fuentes internas como los originados por los
empleados.
Por lo tanto, la seguridad informtica debe ser dada por una
colaboracin entre los encargados de la seguridad de la informacin,
que deben disponer de las medidas al alcance de su mano, y los
usuarios, que deben ser conscientes de los riesgos que implican
determinados usos de los sistemas y de los recursos que consumen
cada vez que les pasa algn problema ya que esto les hace que
pierdan tiempo de produccin y el consumo de recursos en horas de
la recuperacin de la actividad normal es en muchos casos
irrecuperable.
Sin embargo, gran parte de esa concientizacin est en manos de
los responsables de seguridad de la informacin apoyados en todo
momento por la gerencia de forma explcita y activa, por ello es
importante indicarles no slo cuales son las principales amenazas
en cada momento, sino qu deben hacer para evitarlas, impartiendo
as procedimientos de actuacin que permitan que las medidas
tcnicas que se disponen desde informtica sean efectivas.
Por lo tanto en este nuevo entorno, es imprescindible que las
empresas se preparen no slo para prevenir el peligro de

comprometer sus operaciones de negocio, sino tambin las de sus
inversores, clientes, socios y empleados, reduciendo los problemas
de seguridad que pueden surgir y dando a la informacin su valor.
1.2. Valor y costo de la informacin para las empresas
La informacin no tiene un valor especfico; su valor est
determinado nicamente por quienes la utilizan y desde la
perspectiva de una corporacin comn, la informacin es cualquier
elemento intangible que afecta al negocio. Al contrario de otros
recursos corporativos tales como el dinero, la gente o el equipo, la
informacin es fcil de alterar y duplicar. Algunas veces, de hecho,
el valor de la informacin depende de que se mantenga en secreto.
Aunque una computadora puede ayudar a la gente a manejar datos
e informacin, los seres humanos todava deben evaluar esta
informacin y tomar decisiones tales como las predicciones acerca
del comportamiento del mercado de valores, planes para nuevos
productos, revisiones a los empleados, listas de precios, entre otros.

Los tres factores que afectan al valor de la informacin son la
oportunidad, la precisin y la presentacin (1). Equilibrar estas
necesidades crea muchos retos para la gente que maneja esta
informacin; determinar qu guardar y qu descartar, encontrar la
mejor manera de organizar la informacin y controlar quin tiene
acceso. Todas estas decisiones tienen que ser evaluadas contra el
costo de la administracin de la informacin. El valor de la
informacin puede ser difcil de definir, el costo de su administracin
no lo es, aunque su valor aumenta mientras mas rpido se la
requiera y mientras ms compleja y detallada sea la informacin,
requiere de mayor espacio de almacenamiento y ste cuesta dinero;
por lo tanto la informacin para las organizaciones es un factor
importante al momento de tomar decisiones que afecten o no a la
rentabilidad de la misma, es por eso que esta informacin debe ser
integra, disponible y confiable, es decir, debe contar con estos
elementos de seguridad para garantizar el cumplimiento de los
objetivos de la empresa.
El siguiente punto a tratar en este captulo nos dar a conocer los
riesgos que no solamente afectan el trabajo normal de la
organizacin y producen prdidas monetarias sino que en algunos
casos son capaces de llevar a la ruina a nuestras empresas.
(1)
Introduccin a la Computacin, Primera Edicin, Peter Norton, Mc Graw
Hill pg: 50, 52,53.
1.3. Razones de vulnerabilidades de los Sistemas
Existen muchas ventajas para los sistemas de informacin que estn
adecuadamente salvaguardados. Pero cuando grandes cantidades
de datos estn almacenados electrnicamente, son ms vulnerables
que cuando se tienen en forma manual.
Estas vulnerabilidades se pueden originar por factores tcnicos,
institucionales, ambientales y en conjunto por malas decisiones
administrativas.
Los sistemas computarizados son especialmente vulnerables a tales
desafos por las siguientes razones:
Complejidad en los sistemas de informacin: Un sistema de
informacin complejo no puede ser duplicado a mano. La mayor
parte de la informacin no puede imprimirse o es demasiado
voluminosa para ser tratada manualmente.
Registros propios del computador: En general no quedan huellas
visibles de cambios en los sistemas computarizados, porque los

registros de computadoras solo pueden ser ledos por la
mquina.
Procedimientos computarizados: Parecen ser invisibles y no son
bien entendidos y auditados.
Por cambios: Los cambios en los sistemas automatizados son
ms costosos y con frecuencia ms complejos que los cambios
en los sistemas manuales.
El desarrollo y operacin de los sistemas: Los sistemas estn
abiertos al abuso de miembros del personal altamente
capacitados tcnicamente que no estn bien integrados a la
institucin. (Los programadores y los operadores de
computadoras pueden hacer cambios no autorizados en el
software mientras la informacin se procesa o pueden utilizar
instalaciones de cmputo para propsitos no autorizados. Los
empleados pueden hacer copias no autorizadas de archivos de
datos con fines ilegales.)
Sistemas automatizados: Aunque las posibilidades de desastre
en los sistemas automatizados no son mayores que en los
sistemas manuales, el efecto puede ser mucho mayor. En

algunos casos, todos los registros del sistema pueden quedar
destruidos y perdidos para siempre.
Se tienen menos documentos en papel para procesar y revisar
cuando los sistemas estn automatizados. Es posible tener
menor inspeccin manual.
Acceso a los sistemas: La mayor parte de los sistemas son
accesibles a muchas personas. La informacin es ms fcil de
recopilar pero ms difcil de controlar.
Procesamiento de datos: Los datos en los sistemas de cmputo
pasan por ms pasos de procesamiento que en los sistemas
manuales, cada uno de los cuales est abierto a errores o a
abusos. Cada una de estas funciones (origen de los datos,
registro, transmisin, procesamiento, almacenamiento,
recuperacin y distribucin) requiere de un conjunto
independiente de controles fsicos, administrativos y tcnicos. (2)
1.4. Vulnerabilidades
(2)
Administracin de los Sistemas de Informacin, Organizacin y Tecnologa,
Tercera Edicin, Kenneth C. Laudon y Jane P. Laudon,Prentice Hall
Hispanoamericana S.A., Impreso en Mxico Copyright MCMXCIV. Pag: 702,
703, 704.
Los avances en las telecomunicaciones y en el software de las
computadoras han aumentado las vulnerabilidades a la seguridad
de los sistemas que pueden ser interconectados en diferentes
puntos, es decir que el potencial para acceso no autorizado, abuso
o fraude no se limita a un solo lugar sino que puede ocurrir en
cualquier punto de acceso a la red, lo que crea nuevas reas y
oportunidades para penetracin y manipulacin de los sistemas.
El entorno de internet es un peligro constante para las
organizaciones que ahora trabajan con este servicio. Los peligros
ms frecuentes de los que deben protegerse las empresas mientras
navegan en internet sus integrantes son los siguientes:
Hackers: Tambin llamados piratas informticos accedan a la
informacin que existe y se transmite por internet, no solo tienen
acceso a e-mails sino a computadoras que estn enlazadas a la
red perjudicando a las empresas haciendo mal uso de la
informacin.
Cracker: Son personas que intentan romper la seguridad de un
sistema, accediendo con malas intenciones a la informacin que
se mantiene guardada en ellos.

Virus: Son programas diseados para modificar o destruir datos,
pueden ser ingresados al sistema por un dispositivo externo o
travs de la red (e-mails) sin intervencin directa del atacante.
Gusanos: Son virus que se activa y transmite a travs de la red.
Tiene como finalidad su multiplicacin hasta agotar el espacio en
disco o RAM. Suele ser uno de los ataques ms dainos porque
normalmente produce un colapso en la red como ya estamos
acostumbrados.
Caballos de Troya: Son virus que entra al ordenador y
posteriormente acta de forma similar a este hecho de la
mitologa griega. As, parece ser una cosa o programa inofensivo
cuando en realidad est haciendo otra y expandindose. Puede
ser muy peligroso cuando es un programador de la propia
empresa quien lo instala en un programa.
Spam: Tambin llamado correo no deseado, si bien no lo
podemos considerar como un ataque propiamente dicho, lo
cierto es que provoca hoy en da prdidas muy importantes en
empresas y organismos.
Pero no slo el internet es una amenaza para las organizaciones
podemos encontrar otras tantas dentro de la propia empresa. Una
amenaza siempre latente es el personal de la organizacin que por
muchas circunstancias puede ser un peligro ya sea por los errores
que pueda cometer sin intencin como aquellos que son hechos con
el objetivo de daar a la organizacin un ejemplo claro es cuando en
el Departamento de Sistemas no genera registros de las actividades
de los usuarios en la red, esto provoca que no se pueda identificar
anomalas que pueden realizar los empleados mientras se
encuentren conectados al sistema volviendo a la informacin que se
genera poco confiable; si continuamos explorando dentro de la
empresa podemos encontrar otras vulnerabilidades como son los
equipos que no reciben el mantenimiento adecuado o que por fallas
elctricas suelen daarse y dejar a la organizacin con menos
recursos para realizar sus operaciones. Las organizaciones
siempre estarn expuestas a estos tipos de riesgos o ataques
informticos y a otros ms ya que a medida que avanza la tecnologa
tambin habr personas que intenten mejorar las formas de vulnerar
la seguridad.
CAPTULO 2
2 MARCO TEORICO
1.1 Evolucin histrica de la seguridad.
Hablar de evolucin de seguridad es complejo, desde el inicio de la
vida en comunidad, existan acciones para evitar amenazas,
proteger la vida y las posesiones, all se usaban mtodos defensivos
y se manejaban conceptos de alertar, evitar, detectar, alarmar y
reaccionar a los diferentes hechos que podan suceder.
La familia, posteriormente dise esquemas de proteccin y se
crearon lugares para resguardarse.
Algunos descubrimientos arqueolgicos denotan con evidencias la
importancia de la seguridad para los antiguas generaciones, entre
estos tenemos las pirmides egipcias, el palacio de Sargon, el Dios
egipcio Anubis, los Sumaricos, el Cdigo de Hammurabi, entre otros.
Hasta se dice que Julio Csar utilizaba esquemas de seguridad en
poca de guerra y en el gobierno.

La seguridad moderna se origin con la revolucin industrial para
combatir los delitos y movimientos laborales, tan comunes en
aquella poca. Finalmente, un terico y pionero de la administracin
Henry Fayol en 1919 identifica la seguridad como una de las
funciones empresariales, luego de la tcnica comercial, financiera,
contable y directiva.
Al definir el objetivo de la seguridad Fayol dice: "salvaguardar
propiedades y personas contra el robo, fuego, inundacin
contrarrestar huelgas y traiciones por parte del personal, y de forma
amplia todos los disturbios sociales que puedan poner en peligro el
progreso e incluso la vida del negocio."
Las medidas de seguridad a las que se refiere Fayol, slo se
restringan a los exclusivamente fsicos de la instalacin, ya que el
mayor activo era justamente ese los equipos, ni siquiera el
empleado. Con la aparicin de las computadoras, esta mentalidad
se mantuvo, porque Quin seria capaz de entender estos
complicados aparatos como para poner en peligro la integridad de
los datos por ellos utilizados?
Hoy, la seguridad, desde el punto de vista legislativo, est en manos
de los polticos, a quienes les toca decidir sobre su importancia, los

delitos en que se pueden incurrir, y el respectivo castigo, si
correspondiera.
Este proceso ha conseguido importantes logros en las reas de
prevencin del crimen, terrorismo y riesgo ms que en el
pensamiento general sobre seguridad.
En cambio desde el punto de vista tcnico, la seguridad est en
manos de la direccin de las organizaciones y, en ltima instancia,
en cada uno de nosotros y en nuestro grado de concientizacin
respecto a la importancia de la informacin y el conocimiento en
este nuevo milenio.
2.2 Qu es seguridad informtica?
Para llegar a una correcta definicin de seguridad informtica se
debe conocer primero los conceptos de informtica y seguridad
respectivamente:
2.2.1 Definicin de seguridad

La definicin de seguridad trae consigo una ausencia de
amenazas, situacin que en el mundo contemporneo es muy
difcil de sostener, las sociedades actuales son sociedades
de riesgo. El componente riesgo es permanente y da carcter
propio de los estados y sociedades nacionales, como tal la
seguridad no puede ser entendida como ausencia de
amenazas.
Segn la Real Academia Espaola, seguridad es cualidad de
seguro y seguro es libre y exento de todo peligro.
Segn Microsoft Encarta 2004, seguridad es cualidad de
seguro y define a este a su vez como libre y exento de todo
peligro, dao o riesgo.
Segn Nambela en el ao 1996 dijo seguridad es todo
aquello que permite defenderse de una amenaza.
Para mi seguridad es eliminar la incertidumbre ante lo que
puede pasar, la seguridad total no existe, debemos hablar de
seguridad razonable.
2.2.2 Definicin de informtica
La informtica surge en la preocupacin del ser humano por
encontrar maneras de realizar operaciones matemticas de
forma cada vez ms rpida y fcilmente. Pronto se vio que
con ayuda de aparatos y mquinas las operaciones podan
realizarse de forma ms eficiente, rpida y automtica.
Segn la definicin de la Real Academia Espaola, la palabra
informtica significa Conjunto de conocimientos cientficos y
tcnicas que hacen posible el tratamiento automtico de la
informacin por medio de ordenadores.
2.2.3 Definicin de seguridad informtica
La definicin de seguridad informtica proviene entonces de
los dos trminos antes definidos.
La seguridad informtica son tcnicas desarrolladas para
proteger los equipos informticos y la informacin de daos
accidentales o intencionados.
2.2.4 Objetivo de la seguridad informtica

La seguridad informtica tiene como principal objetivo
proteger el activo ms importante que tiene la empresa que
es su informacin de los riesgos a los que est expuesta.
Para que la informacin sea considerada confiable para la
organizacin ya que sus estrategias de negocio dependern
del almacenamiento, procesamiento y presentacin de la
misma, esta deber cubrir los tres fundamentos bsicos de
seguridad para la informacin que son:
Confidencialidad. Se define como la capacidad de
proporcionar acceso a usuarios autorizados, y negarlo a
no autorizados.
Integridad. Se define como la capacidad de garantizar
que una informacin o mensaje no han sido manipulados.
Disponibilidad. Se define como la capacidad de acceder a
informacin o utilizar un servicio siempre que lo
necesitemos.
La seguridad informtica se preocupa de que la informacin
manejada por un computador no sea daada o alterada, que
est disponible y en condiciones de ser procesada en
cualquier momento y se mantenga confidencial.
2.2.5 Riesgos
Los riesgos se pueden definir como aquellas eventualidades
que imposibilitan el cumplimiento de un objetivo y segn la
Organizacin Internacional por la Normalizacin (ISO) define
riesgo tecnolgico como La probabilidad de que una
amenaza se materialice, utilizando vulnerabilidades
existentes de un activo o un grupo de activos, generndole
perdidas o daos
A raz de esta definicin podemos concluir que cualquier
problema que afecte al total funcionamiento de la empresa es
considerado un riesgo o amenaza para la entidad.
2.2.5.1 Tipos de amenazas a la seguridad

Ninguna empresa est exenta de sufrir amenazas a su
seguridad, estas amenazas a las que son vulnerables las
organizaciones son expuestas en la siguiente figura 2.1
Figura 2.1 Tipos de Amenazas
El estudio CSI/FBI ao 2005 figura 2.2, realizado por el
Instituto de Seguridad en Computacin con la participacin
de la Agencia Federal de San Francisco, tomando como
poblacin a las empresas de Estados Unidos, seleccionando
una muestra de 700 organizaciones; destaca que el mal uso

de los sistemas de informacin a tenido un crecimiento lento
y a la vez disminuido firmemente en varios aos.
En la nica amenaza donde se percibe un aumento ligero es
en el abuso de redes inalmbricas, esta categora junto con el
deficiente sitio web han sido agregadas solo desde el ao
2004 en este estudio.
Figura 2.2 Amenazas/ Ataques detectados entre

los aos 1999-2005
2.2.5.1.1 Amenazas humanas

Las amenazas humanas como su nombre lo indica son
aquellas acciones provocadas por el hombre y pueden ser de
dos tipos maliciosas y no maliciosas
2.2.5.1.1.1 Maliciosas
Las amenazas maliciosas son aquellas que se llevan a efecto
con el propsito de causar dao a la organizacin.
2.2.5.1.1.1.1 Externas
Las amenazas externas que pueden afectar al desarrollo y
buen funcionamiento de las actividades de las empresas son
frecuentemente originadas por el acceso a internet, ya que en
esta red existen una serie de peligros como son los virus,
hackers, entre otros que infiltrndose en la red interna de la
organizacin provocando daos como mal funcionamiento de
los sistemas y prdida de informacin.
2.2.5.1.1.1.2 Internas
Las amenazas internas ms frecuentes son las originadas por
los propios funcionarios y ex - funcionarios de la organizacin
motivados por la falta de dinero o represalia por algn tipo
de enfrentamiento que hayan tenido con un superior.
2.2.5.1.1.2 No maliciosas
Este tipo de amenazas son producidas en la mayora de los
casos por errores ocasionados por empleados que no
cuentan con el conocimiento o adecuada capacitacin en el
manejo de equipos y sistemas.
2.2.5.1.2 Amenazas por desastres naturales
Estas amenazas originadas por la naturaleza son las menos
frecuentes en las organizaciones pero an as no podemos
dejar de considerarlas.
2.2.5.1.3 Otros
Otras amenazas son aquellas referentes a las que estn
fuera del alcance del hombre como son las interrupciones
elctricas, fallas de equipos originadas por los cortes de
energa o no mantenerlos en el ambiente adecuado aunque
esta es una responsabilidad ms bien de carcter humano;
entre otros.
2.2.5.2 Cmo enfrentar los riesgos?
Los problemas de seguridad se multiplican con gran facilidad,
por lo que las empresas deben perfeccionar los sistemas y
los procesos para evitar amenazas o abordarlas cuando se
produzcan. Para garantizar que la informacin de nuestra
organizacin posea las caractersticas de seguridad ya
mencionadas como son la confidencialidad, integridad y
disponibilidad se debe poner en prctica un plan de
seguridad informtica.
2.2.6 Plan estratgico de seguridad informtica

Un plan estratgico de seguridad informtica est basado en
un conjunto de polticas de seguridad elaboradas previo a
una evaluacin de los riesgos que indicar el nivel de
seguridad en el que se encuentre la empresa. Estas polticas
deben ser elaboradas considerando las caractersticas del
negocio, la organizacin, su ubicacin, sus activos y
tecnologa que posee la empresa.
2.2.6.1 Evaluacin de los riesgos
La evaluacin de los riesgos es el proceso por el cual se
identifican las vulnerabilidades de la seguridad.
Por tanto el objetivo general de evaluar los riesgos ser
identificar las causas de los riesgos potenciales, en toda la
organizacin, a parte de ella o a los sistemas de informacin
individuales, a componentes especficos de sistemas o
servicios donde sea factible y cuantificarlos para que la
Gerencia pueda tener informacin suficiente al respecto y
optar por el diseo e implantacin de los controles
correspondientes a fin de minimizar los efectos de las causas
de los riesgos, en los diferentes puntos de anlisis.

Los pasos para realizar una valoracin de riesgos se detallan
a continuacin:
1. Identificar los riesgos
2. Anlisis de los riesgos
2.2.6.1.1 Identificar riesgos
En este paso se identifican los factores que introducen una
amenaza en la planificacin del entorno informtico, existen
formas de identificarlos como:
Cuestionarios de anlisis de riesgos: La herramienta clave
en la identificacin de riesgos son los cuestionarios los
mismos que estn diseados para guiar al administrador
de riesgos para descubrir amenazas a travs de una serie
de preguntas y en algunas instancias, este instrumento
esta diseado para incluir riesgos asegurables e in-
asegurables. El cuestionario de anlisis de riesgos esta
diseado para servir como un repositorio de la
informacin acumulada de documentos, entrevistas e
inspecciones. Su propsito es guiar a la persona que

intenta identificar exposiciones a riesgo a travs del
proceso de la identificacin en un modelo lgico y
consistente.
Listas de chequeo de exposiciones a riesgo: Una segunda
ayuda importante en la identificacin de riesgos y una de
las ms comunes herramientas en el anlisis de riesgos
son las listas de chequeo, las cuales son simplemente
unas listas de exposiciones a riesgo.
Listas de chequeo de polticas de seguridad: Esta
herramienta incluye un catlogo de varias polticas de
seguridad que un negocio dado puede necesitar. El
administrador de riesgos consulta las polticas
recolectadas y aplicadas a la firma.
Sistemas expertos: Un sistema experto usado en la
administracin de riesgos incorpora los aspectos de las
herramientas descritas anteriormente en una sola
herramienta. La naturaleza integrada del programa
permite al usuario generar propsitos escritos y
prospectos.
2.2.6.1.2 Anlisis de riesgos
Una vez se hayan identificado los riesgos, el paso siguiente
es analizarlos para determinar su impacto, tomando as las
posibles alternativas de solucin.
2.2.6.1.2.1 Ponderacin de los Factores de riesgo
Ponderar el factor de riesgo es darle un valor de importancia
en trminos porcentuales al mismo bajo los criterios de
especialistas en el rea informtica que pueden identificar su
impacto en la organizacin, teniendo en cuenta las
posibilidades de que se puedan convertir en realidad.
2.2.6.1.2.2 Valoracin del riesgo
La valoracin del riesgo envuelve la medicin del potencial
de las prdidas y la probabilidad de la prdida categorizando
el orden de las prioridades.
TABLA 1
VALORACIN DEL RIESGO

Cuadrante Valoracin del riesgo
Impacto significante y probabilidad Alto
Alta
Impacto significante y probabilidad Medio-alto
Baja
Impacto insignificante y probabilidad Medio-bajo
Alta
Impacto insignificante y probabilidad Bajo
Baja
Fuente: http://www.monografias.com/trabajos14/datos/
datos.html
Una explicacin ms clara de la valoracin es la siguiente:
Riesgo alto: Todos las exposiciones a prdida en las
cuales la magnitud alcanza la bancarrota.
Riesgo medio: Son exposiciones a prdidas que no
alcanzan la bancarrota, pero requieren una accin de la
organizacin para continuar las operaciones.
Riesgo bajo: Exposiciones a prdidas que no causan un
gran impacto financiero.
2.2.6.1.2.3 Crear la matriz descriptiva

El objetivo de esta matriz la cual podemos ver su formato en
la tabla 2 es la de asignar un valor a los recursos informticos
que posea la organizacin de acuerdo al impacto que el
riesgo tenga sobre cada uno de ellos.
TABLA 2
MATRIZ DESCRIPTIVA
Escala de Riesgos: 1 (Bajo), 2 (Medio Bajo), 3 (Medio
Alto), 4 (Alto)
Recursos
No. R1 R2 R3 R.
Informticos
1 A 3 3 1
2 B 2 2 2
3 C 1 1 3
4 D 2 4 3
5 E 3 2 2
datos.html
2.2.6.1.2.4 Crear la matriz ponderada

Esta matriz tiene como objetivo el determinar la prioridad de
riesgo que tiene cada recurso informtico mediante la
obtencin de un resultado determinado por la sumatoria de
de cada una de las multiplicaciones realizadas entre la
ponderacin de cada riesgo con la valoracin de cada
recurso informtico como lo muestra la tabla 3. Y as
determinar la categora de riesgo que tiene cada recurso.
TABLA 3
MATRIZ PONDERADA
P
PONDERACIN P1% P2% P3% % 100%
No RECURSOS
R1 R2 R3 R TOTAL
. INFORMTICOS
1 A 3 3 1 (P1%x3) + (P2%x3 )+
2 B 2 2 2 (P1%x2) + (P2%x2) +
3 C 1 1 3 (P1%x1) + (P2%x1) +
4 D 2 4 3 (P1%x2) + (P2%4) +
5 E 3 2 2 (P1%3) + (P2%x2) +
datos.html
2.2.6.1.2.5 Crear la matriz categorizada

El objetivo de esta matriz como observamos en la tabla 4 es
la de definir la categora del riesgo (Alto, Medio y Bajo) para
cada recurso informtico. Para determinar que recursos
informticos estn dentro de cada categora nos ayudamos
de formulas bsicas de estadstica para encontrar el rango y
tamao de intervalo que dividirn las categoras.
Para encontrar el rango tomamos el valor mayor de la
columna total menos el valor menor. Este valor nos ayudar
para definir el tamao de intervalo, mediante la divisin del
valor rango para la cantidad de categoras de riesgo que
deseamos definir para nuestro anlisis. Una vez obtenido
este valor empezamos a segmentar los valores por intervalos
para asignar las categoras ya definidas dando a los valores
altos la definicin de riesgo alto, a los valores medios
riesgo medio y a los valores bajos riesgos bajos.
TABLA 4
MATRIZ CATEGORIZADA
P
PONDERACIN P1% P2% P3% % 100%
No RECURSOS
R1 R2 R3 R TOTAL
. INFORMTICOS
1 A 3 3 1 RIESGO ALTO
2 C 1 1 3 RIESGO ALTO
3 E 3 2 2 RIESGO MEDIO
4 B 2 2 2 RIESGO MEDIO
5 D 2 4 3 RIESGO BAJO
datos.html
2.2.6.2 Polticas de seguridad
Una poltica de seguridad informtica es aquella que fija los
lineamientos y procedimientos que deben adoptar las
empresas para salvaguardar sus sistemas y la informacin
que estos contienen.
Si bien existen algunos modelos o estructuras para su diseo,
ests tienen que ser elaboradas de forma personalizada para
cada empresa para as recoger las caractersticas propias
que tiene la organizacin.

Una buena poltica de seguridad corporativa debe recoger, de
forma global, la estrategia para proteger y mantener la
disponibilidad de los sistemas informticos y de sus recursos,
es decir que ests polticas de seguridad deben abarcar las
siguientes reas.
Seguridad Fsica
Seguridad Lgica
Seguridad en redes
Seguridad en los recursos humanos
Seguridad en el Outsourcing
Planes de Contingencia
2.2.6.2.1 Elementos de una poltica de seguridad

Como una poltica de seguridad debe orientar las decisiones
que se toman en relacin con la seguridad, se requiere la
disposicin de todos los miembros de la empresa para lograr
una visin conjunta de lo que se considera importante.
Las Polticas de Seguridad Informtica deben considerar
principalmente los siguientes elementos:
Alcance de las polticas, incluyendo facilidades, sistemas
y personal sobre la cual aplica.
Objetivos de la poltica y descripcin clara de los
elementos involucrados en su definicin.
Responsabilidades por cada uno de los servicios y
recursos informticos aplicado a todos los niveles de la
organizacin.
Requerimientos mnimos para configuracin de la
seguridad de los sistemas que abarca el alcance de la
poltica.
Definicin de violaciones y sanciones por no cumplir con
las polticas.
Responsabilidades de los usuarios con respecto a la
informacin a la que tiene acceso.
Las polticas de seguridad informtica, tambin deben
ofrecer:
Explicaciones comprensibles sobre por qu deben
tomarse ciertas decisiones y explicar la importancia de los
recursos.
Debern establecer las expectativas de la organizacin,
tales expectativas deben tener relacin con la seguridad y
especificar la autoridad responsable de aplicar los
correctivos o sanciones.
Las polticas deben redactarse en un lenguaje sencillo y
entendible, libre de tecnicismos y trminos ambiguos que
impidan una comprensin clara de las mismas, claro est
sin sacrificar su precisin.

Las polticas de seguridad, deben seguir un proceso de
actualizacin peridica sujeto a los cambios
organizacionales relevantes, como son: el aumento de
personal, cambios en la infraestructura computacional,
alta rotacin de personal, desarrollo de nuevos servicios,
regionalizacin de la empresa, cambio o diversificacin
del rea de negocios, etc.
2.3. Seguridad Fsica
La seguridad fsica consiste en la aplicacin de barreras fsicas y
procedimientos de control, como medidas de prevencin ante
amenazas a los recursos e informacin confidencial que puedan
interrumpir el procesamiento de la informacin.
Este tipo de seguridad est enfocado a cubrir las amenazas
ocasionadas tanto por el hombre como por la naturaleza del medio
fsico en que se encuentra ubicado el centro de cmputo.
Las principales amenazas que se prevn en la seguridad fsica son:
Desastres naturales, incendios accidentales tormentas e
inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.
Otras amenazas como las fallas de energa elctrica o las fallas
de los equipos.
Los recursos que se deben proteger fsicamente van desde un
simple teclado hasta un respaldo de toda la informacin que hay en
el sistema, pasando por la propia mquina, igualmente se deben
tener medidas de proteccin contra las condiciones climticas y
suministros de energa que pueden afectar la disponibilidad de los
sistemas de informacin e interrumpir los procesos de la
organizacin.
2.3.1. Seguridad de acceso fsico
Se refiere a las medidas de seguridad para evitar el acceso
de personas no autorizadas a los dispositivos de hardware y
cualquier medio de salida de informacin como fax,

copiadoras entre otros, ubicados tanto en el rea de
sistemas como en las reas usuarias.
2.3.1.1. Organizacin
Para llevar un buen control de los accesos a la organizacin
no slo se requiere la capacidad de identificacin, sino
tambin negar asociarla a la apertura o cerramiento de
puertas, permitir o negar accesos basados en restricciones
de tiempo, rea o sector de la empresa.
Existen varios mtodos de control entre ellos estn:
Guardias de seguridad
Detectores de Metales
Sistemas Biomtricos
Seguridad con Animales
Proteccin Electrnica
2.3.1.1.1. Guardias de seguridad
La utilizacin de guardias de seguridad ser con el fin de
controlar el acceso de personas ajenas a la organizacin y
del mismo personal que ah trabaje; la guardiana debe ser
durante las 24 horas del da y deben estar armados para lo
cual el personal de seguridad debe poseer un permiso para el
manejo de armas otorgado por la autoridad pertinente.
Algunas medidas de seguridad podran ser (3):
Credenciales de identificacin: Cualquier persona que
ingrese a la organizacin deber llevar una credencial.
Ests credenciales pueden clasificarse de la siguiente
manera:
- Normal o definitiva: para el personal permanente de
planta.
- Temporaria: para personal recin ingresado.

(3)
http://www.segu-info.com.ar/fisica/guardias.htm
- Contratistas: personas ajenas a la empresa, que por
razones de servicio deben ingresar a la misma.
- Visitas.
Bitcora de registro de accesos: Las personas ajenas a la
organizacin debern llenar este formulario que deber
contener el motivo de la visita, hora de ingreso, etc.
Control de Vehculos: Para controlar el ingreso y egreso
de vehculos, el personal de vigilancia debe asentar en
una planilla los datos personales de los ocupantes del
vehculo, la marca y patente del mismo, y la hora de
ingreso y egreso de la empresa.
La utilizacin de guardias de seguridad tambin tiene su
desventaja que es el soborno del guardia por un tercero para
lograr el acceso a sectores donde no est habilitado, como
as tambin para poder ingresar o salir de la empresa con
equipos que no ha sido autorizado su salida.
2.3.1.1.1.1. Detectores de Metales

El detector de metales es un elemento sumamente prctico
para la revisin de personas, ofreciendo grandes ventajas
sobre el sistema de palpacin manual (4).
La sensibilidad del detector es regulable, permitiendo de esta
manera establecer un volumen metlico mnimo, a partir del
cual se activar la alarma.
La utilizacin de este tipo de detectores debe hacerse
conocer a todo el personal. De este modo, actuar como
elemento disuasivo.
2.3.1.1.2. Sistemas Biomtricos
La biometra es una tecnologa que realiza mediciones en
forma electrnica, guarda y compara caractersticas nicas
para la identificacin de personas (5).
(4)
http://www.segu-info.com.ar/fisica/metales.htm
(5)
http://www.segu-info.com.ar/fisica/biometricos.htm
La forma de identificacin consiste en la comparacin de
caractersticas fsicas de cada persona con un patrn
conocido y almacenado en una base de datos.
Los lectores biomtricos identifican a la persona por lo que es
(manos, ojos, huellas digitales y voz).
El beneficio de utilizar est tcnica es en los costos de
administracin que son bajos debido a que se solo se realiza
el mantenimiento del lector y una persona se encarga de
mantener la base de datos actualizada.
Sumado a esto, las caractersticas biomtricas de una
persona son intransferibles a otra.
2.3.1.1.3. Seguridad con Animales
Sirven para grandes extensiones de terreno, y adems tienen
rganos sensitivos mucho ms sensibles que los de cualquier
dispositivo y, generalmente, el costo de cuidado y
mantenimiento se disminuyen considerablemente utilizando
este tipo de sistema(6).
(6)
http://www.segu-info.com.ar/fisica/animales.htm
As mismo, este sistema posee la desventaja de que los
animales pueden ser engaados para lograr el acceso
deseado.
2.3.1.1.4. Proteccin Electrnica
Se llama as a la deteccin de robo, intrusin, asalto e
incendios mediante la utilizacin de sensores conectados a
centrales de alarmas. Estas centrales tienen conectadas los
elementos de sealizacin que son los encargados de
hacerles saber al personal de una situacin de emergencia.
Cuando uno de los elementos sensores detectan una
situacin de riesgo, stos transmiten inmediatamente el aviso
a la central; sta procesa la informacin recibida y ordena en
respuesta la emisin de seales sonoras o luminosas
alertando de la situacin (7).
2.3.1.2. rea de sistemas
(7)
http://www.segu-info.com.ar/fisica/electronica.htm
El rea de sistemas es considerada como la ms sensible a
las amenazas debido a que en ella estn ubicados los
equipos que contienen toda la informacin que es procesada
en las reas usuarias y se le debe brindar un control
adecuado y exclusivo.
Dentro de la organizacin lo ms optimo para mantener la
seguridad y evitar accesos no permitidos al rea de sistemas
es implementar como medio de proteccin los siguientes
recursos(8):
Puerta con cerradura
Puerta de combinacin
Puerta electrnica
Puertas sensoriales
Registros de entrada
Videocmaras
Auditoria en Informtica, Segunda Edicin, Jos Antonio Echenique

(8)
Garca, Mc Graw Hill pg: 225.

Escolta controladora para el acceso de visitantes
Puertas dobles
Alarmas
2.3.1.2.1. Puerta con cerradura
Requiere de la tradicional llave de metal, la cual debe ser
difcil de duplicar.
2.3.1.2.2. Puerta de combinacin
En este sistema se usa una combinacin de nmeros para
permitir el acceso.
La combinacin debe ser cambiada regularmente o cuando
el empleado sea transferido o termine su funcin laboral
dentro de ese centro de cmputo. Esto reduce el riesgo de
que la combinacin sea conocida por gente no autorizada.

2.3.1.2.3. Puerta electrnica
El sistema ms comn es el que se usa una tarjeta de
plstico magntica como llave de entrada. Un cdigo
especial interno en la tarjeta es ledo por un sensor
activando el seguro de la puerta.
2.3.1.2.4. Puertas sensoriales
Son activadas por los propios individuos con alguna parte de
su cuerpo, como puede ser la huella dactilar, voz, retina,
geometra de la mano o bien por la firma.
2.3.1.2.5. Registros de entrada
Todos los visitantes deben firmar el registro de visitantes
indicando su nombre, su compaa, la razn para la visita, la
persona a la que visita. El registro se encontrar en la
recepcin del centro de cmputo. Es importante que el
visitante proporcione una identificacin con foto (licencia de
manejo o credencial), ya que de otra forma podra inventar

el nombre y no se tendra seguridad.
Los empleados deben de portar la credencial de la empresa
con foto, la cual adems de servir de identificacin, se
utilizar para sealar las reas de informtica a las cuales
tiene autorizacin de entrar.
2.3.1.2.6. Videocmaras
Estas deben ser colocadas en puntos estratgicos para que
se pueda monitorear el centro. Los casetes deben ser
guardados para su posible anlisis.
2.3.1.2.7. Escolta controladora para el acceso de
visitantes
Todos los visitantes deben ser acompaados por un
empleado responsable. Se consideran visitantes: amigos,
proveedores, ingenieros de mantenimiento y auditores
externos.
2.3.1.2.8. Puertas dobles
Este equipo es recomendable para lugares de alta
seguridad; se trata de dos puertas, donde la segunda slo
se pueda abrir cuando la primera est cerrada.
2.3.1.2.9. Alarmas
Todas las reas deben estar protegidas contra robo o
accesos fsicos no autorizados.
Las alarmas contra robo deben ser usadas hasta donde sea
posible en forma discreta, de manera que no se atraiga la
atencin hacia este dispositivo de alta seguridad. Tales
medidas no slo se deben aplicar en el centro de cmputo
sino tambin en reas adyacentes.
2.3.2. Seguridad en la ubicacin y Dimensin del rea de
sistemas
Se refiere a las precauciones que se deben tomar en cuenta
para la instalacin fsica del rea que servir como eje central
del procesamiento de la informacin de la empresa evitando
de est manera los accesos no permitidos, otras
interrupciones y la falta de espacio fsico para la adecuada
operacin del rea.
2.3.2.1. Ubicacin del rea
Ubicar adecuadamente el rea de sistemas es primordial
para el desarrollo correcto e ininterrumpido de las actividades
de los integrantes del departamento y buen rendimiento de
los equipos; este lugar adecuado debe tener las siguientes
caractersticas:
Debe estar alejado de reas de alto trfico de personas o
un lugar cercano a la calle o con un alto nmero de
invitados; esto interfiere con la eficiencia en el trabajo y
disminuye la seguridad.
No debe tener grandes ventanales los cuales permiten la
entrada del sol y pueden ser riesgosos para su seguridad.

Debe estar alejado de lugares sumamente calurosos a los
que todo el da les este dando el sol.
2.3.2.2. Dimensin del rea
Las dimensiones mnimas del centro de cmputo deben
determinarse por la cantidad de componentes del sistema, el
espacio requerido para cada unidad, para su mantenimiento y
el rea de operacin. Por ello, las paredes y paneles
removibles pueden ser utilizados para facilitar ampliaciones
futuras.
En general, aunque los equipos de cmputo se han reducido
en tamao, se debe considerar el incremento en el nmero de
stos y en equipos perifricos a la hora de planificar la
construccin del departamento que ser utilizado para el
procesamiento de la informacin.
2.3.3. Seguridad del equipamiento
La informacin vital de la organizacin es procesada en los
equipos de computacin los cuales deben recibir cuidados
especiales para prevenir posibles fallas ocasionadas por la

electricidad, temperatura o falta de mantenimiento del equipo
que puedan provocar interrupciones mientras se estn
procesando los datos.
2.3.3.1. Aire acondicionado
El equipo de aire acondicionado es otro de los dispositivos
que depender del tipo de computadoras que se utilice y del
lugar donde est instalado, para lo cual se recomienda
verificar con el proveedor la temperatura mnima y mxima,
as como la humedad relativa en la que debern trabajar los
equipos. Generalmente la temperatura recomendada est
entre 18-19C con una humedad entre el 45% - 50%.
Se deben tener algunas precauciones con el aire
acondicionado para evitar futuros percances debido a este (9):
Las instalaciones del aire acondicionado son una fuente
de incendio muy frecuente y deber de contarse con
detectores de humo que indiquen la posible presencia de
fuego.
(9)
http://www.rediris.es/cert/doc/unixsec/node7.html
Se recomienda que la presencia de aire en el rea de
sistemas sea ligeramente superior a la de las reas
adyacentes, para reducir as la entrada de polvo y
suciedad
Para el rea de sistemas debe existir independiente del
sistema central de aire acondicionado, dos equipos de
aire acondicionado especiales de los cuales uno acte
como respaldo del otro cuando este no pueda operar
correctamente.
La caracterstica de estos equipos no es la comn de los
aires acondicionados normales ya que estos equipos
principalmente acondicionan automticamente la
temperatura, la humedad, controlan el fluido de aire y son
silenciosos, evitando de esta forma, daos en las
computadoras y dems equipos que conforman el centro
de procesamiento.
En casos de contingencias en las cuales no se cuente con
la operatividad del acondicionador de aire principal y a
falta del equipo de respaldo; podran mantenerse

disponibles ventiladores de pedestales a fin de refrescar
los equipos principales mientras dure la emergencia.
2.3.3.2. Instalacin elctrica y suministros de energa
Trabajar con computadoras implica trabajar con electricidad.
Por lo tanto esta es una de las principales reas a considerar
en la seguridad fsica.
Los problemas mas frecuentes derivados del entorno de
trabajo relacionados con el sistema elctrico que alimentan
nuestros equipos y que amenazan la integridad tanto de
nuestro hardware como de los datos que almacena o circulan
por l son(10):
Cortocircuitos: Son producidos por los cambios de voltaje
que recibe un equipo un ejemplo claro es cuando se va
sbitamente el fluido elctrico y regresa de la misma
forma pero con mayor intensidad produciendo
sobrecargas en el equipo.
Picos de tensin: Son las subidas de tensin, conocidas
como `picos' porque generalmente duran muy poco es

(10)
decir durante unas fracciones de segundo el voltaje que
recibe un equipo sube hasta sobrepasar el lmite
aceptable que dicho equipo soporta.
Cortes de flujo: Son los cortes en el fluido elctrico que
llegan a nuestros equipos.
Aunque un simple corte de corriente no suele afectar al
hardware, lo ms peligroso y que sucede en muchas
ocasiones son las idas y venidas rpidas de la corriente;
en esta situacin, aparte de perder datos, nuestras
mquinas pueden sufrir daos.
Daos en los cables: pueden ser producidos por roedores
que se comen el plstico de los cables o tambin por su
uso lo que hace que las comunicaciones dejen de ser
fiables.
Las medidas ms efectivas para proteger los equipos contra
estos problemas de corriente elctrica pueden ser (11):
Reguladores
Auditoria Informtica, Segunda Edicin, Jos Antonio Echenique Garca,
(11)
Mc Graw Hill pg: 223.

Sistema de energa no interrumpido (UPS)
Switch de emergencia
Protecciones generales
2.3.3.2.1. Reguladores
Los reguladores son dispositivos elctricos que reducen el
riesgo de tener un accidente por los cambios de corrientes, si
se tiene un regulador se debe verificar y controlar que el
nmero de equipos conectados sean acordes con las cargas
y especificaciones del regulador, ya que al no seguir las
indicaciones puede causar que el regulador no proteja a todos
los equipos.
2.3.3.2.2. UPS (Uninterruptable Power Supply/Fuente
Ininterrumpida de Energa)
Un UPS consiste en un generador, que hace funcionar a la
computadora en caso de haber una falla en el abastecimiento
de energa elctrica.
El UPS provee de energa elctrica a la computadora por un
cierto periodo; dependiendo de lo sofisticado que sea, la
corriente elctrica puede ser de horas o de algunos minutos,
de tal forma que permita respaldar la informacin.
2.3.3.2.3. Switch de emergencia
Los switch de emergencia sirven en algn momento en que tal
vez exista la necesidad de apagar la computadora y sus
dispositivos perifricos en caso de incendio o si hubiera una
evacuacin del centro de cmputo. Por este propsito es
recomendable tener uno en el rea de sistemas y otro cerca
pero fuera del rea.
Los switch deben ser claramente identificados con un letrero,
accesibles e inclusive estar a salvo de gente que no tienen
autorizacin para utilizarlos, adems deben estar bien
protegidos de una activacin accidental.
2.3.3.2.4. Protecciones generales

Algunas recomendaciones adicionales que se deben tomar
en cuenta con respecto a las conexiones elctricas sern:
Los cables del sistema elctrico deben estar
perfectamente identificados, lo ms frecuente es
identificarlo por medio de colores (positivo, rojo).
Deben de existir conexiones independientes para los
equipos de cmputo; este cuidado se debe tener en las
oficinas donde estn conectadas terminales o
microcomputadoras.
Se debe contar con los planos de instalacin elctrica
debidamente actualizados.
En zonas grandes con cargas elctricas industriales ser
necesario un aislamiento adicional para prevenirr
interrupciones de energa en el sistema.
Para reducir los riesgos de incendios por causas elctricas
los cables debern ser puestos en paneles y canales
resistentes al fuego.
Los cables deben estar adecuadamente aislados y fuera
de los lugares de paso del personal.
La energa del centro de procesamiento y afines debe ser
exclusiva y no compartida con otras reas.
Como herramienta de emergencia, se debe contar
siempre con linternas a pilas.
2.3.3.3. Temperatura y humedad
En cuanto al ambiente climtico, la temperatura de una
oficina con computadoras debe estar comprendida entre 18 y
21 grados centgrados y la humedad relativa del aire debe
estar comprendida entre el 45% y el 65%.
En todos los lugares hay que contar con sistemas que
renueven el aire peridicamente.
No menos importante es el ambiente sonoro por lo que se
recomienda no adquirir equipos que superen los 55

decibeles, sobre todo cuando trabajan muchas personas en
un mismo espacio(12).
2.3.3.4. Mantenimiento de los equipos
Para tener seguridad de que los equipos de computacin
operarn de manera adecuada, estos debern recibir ciertos
cuidados.
Dichos cuidados implicarn evitar algunas acciones
perjudiciales y realizar peridicamente ciertas medidas
simples de mantenimiento.
Estas medidas ayudarn a minimizar el desgaste del equipo y
prevenir fallas mayores y de esta forma los equipos ofrezcan
un rendimiento ptimo y eficaz a la hora de su
funcionamiento.
Hay dos tipos de mantenimiento:
(12)
http://www.segu-info.com.ar/fisica/ergometria.htm
Mantenimiento Preventivo: Se refiere a la revisin del
equipo antes de que se presenten las fallas.
Este mantenimiento se realiza para prolongar la vida til
del equipo y hacer que permanezca libre de reparaciones.
Mantenimiento Correctivo: Consiste en la reparacin del
computador despus de alguna falla o mala manipulacin
del equipo.
Se deben tomar las siguientes consideraciones para el
mantenimiento de los equipos:
Perodo de mantenimiento: El tiempo depender de
diversos factores:
- La cantidad de horas diarias de operacin, el tipo de
actividad (aplicaciones) que se ejecutan, el ambiente
donde se encuentra instalada (si hay polvo, calor, etc.).
- El estado general (si es un equipo nuevo o muy
usado), y el resultado obtenido en el ltimo
mantenimiento del equipo.

Personal Calificado: El mantenimiento debe ser realizado
por personal capacitado en el rea.
Registros de mantenimiento: El llevar registros de los
mantenimientos realizados ayudarn a prevenir que se
repitan estas fallas llevando a cabo las recomendaciones
para evitarlos que sern anotadas en dichos registros as
como el motivo que causo la falla del equipo.
2.3.3.5. Seguridad de los equipos fuera de las
instalaciones
Los equipos por varios motivos como su traslado a otra
oficina de la misma empresa o por mantenimiento del mismo
salen de la organizacin corriendo riesgos en su seguridad
como el robo del equipo y su informacin.
Es por estos motivos que se deben tomar las siguientes
providencias para mantenerlos seguros:
Se deben seguir las indicaciones del fabricante para
proteger los equipos de daos fsicos.

Los equipos que se trasladen fuera de la organizacin
deben ser cubiertos con un seguro adecuado.
Se debe llevar un registro de entrada y salida de los
equipos en el cual se detallar la persona encargada del
mismo, la razn de su salida, as como la hora de ingreso,
salida del mismo y otros datos que se crean convenientes
para la organizacin.
Para el retiro de cualquier equipo se debe contar con una
autorizacin de la gerencia.
2.3.3.6. Seguridad en la reutilizacin o eliminacin de
equipos
La informacin que contienen los equipos o dispositivos de
almacenamiento est expuesta a una serie de riesgos como
el robo cuando no se cuenta con adecuados controles de
seguridad en el momento de eliminarlos o de volver a
utilizarlos.
Para cualquiera de estas acciones como son la reutilizacin y
la eliminacin de equipos o unidades de almacenamiento se
deben tener medidas de seguridad. La eliminacin o borrado
de la informacin de este equipo o unidad de
almacenamiento es la ms adecuada ya que impide que este
disponible y asegura que los datos no corrern riesgo como
la manipulacin de los datos por personas no adecuadas.
Para el caso de que el equipo este daado se debe realizar
una valoracin del mismo para lograr determinar si se debera
destruirlo o repararlo segn sea el caso y as proteger los
datos.
2.3.4. Seguridad en contra de incendios y humo
Consiste en las precauciones y medidas a tomar en el caso
de presentarse algn incidente provocados por fuego y humo
los cuales son una amenaza para la organizacin debido a
que sus consecuencias producen la prdida de informacin y
dao de los equipos.
2.3.4.1. Incendios
El fuego es una de las principales amenazas contra la
seguridad. Es considerado el enemigo nmero uno de las
computadoras ya que puede destruir fcilmente los archivos
de informacin y programas. Los incendios son causados por
el uso inadecuado de combustibles, fallas de instalaciones
elctricas defectuosas y el inadecuado almacenamiento y
traslado de sustancias peligrosas.
Por este motivo es necesario contar en la organizacin con
salidas de emergencias que deben ser adecuadamente
ubicadas y est ubicacin ser de conocimiento general de la
organizacin
Los diversos factores a contemplar para reducir los riesgos
de incendio a los que se encuentra sometida el rea de
sistemas son:
El rea en la que se encuentran las computadoras debe
estar en un local que no sea combustible o inflamable.

El local no debe situarse encima, debajo o adyacente a
reas donde se procesen, fabriquen o almacenen
materiales inflamables, explosivos, gases txicos o
sustancias radioactivas.
Las paredes deben hacerse de materiales incombustibles
y extenderse desde el suelo al techo.
Debe construirse un "falso piso" instalado sobre el piso
real, con materiales incombustibles y resistentes al fuego.
No debe estar permitido fumar en las reas, se debe
contar con seales que indiquen tal prohibicin.
Deben emplearse muebles incombustibles, y cestos
metlicos para papeles. Deben evitarse los materiales
plsticos e inflamables.
El piso y el techo en el recinto del rea de sistemas y de
almacenamiento de los medios magnticos deben ser
impermeables.
Lastimosamente las previsiones que se toman contra
incendios en ocasiones no son lo suficiente para evitarlos as
que la organizacin debe estar preparada para poder
combatirlos si se presentan.
Un mtodo muy utilizado en las organizaciones para
contrarrestar el fuego cuando este es de pequeas
dimensiones es el uso de extintores y se deben disponer de
una suficiente cantidad de ellos; existen precauciones que
deben ser revisadas en cuanto al uso de extintores como (13):
Su capacidad, fcil acceso, peso y tipo de producto que
utilizan. Es muy frecuente que se tengan los extintores,
pero puede suceder que no se encuentren recargados o
bien que sean de difcil acceso de un peso tal que sea
difcil utilizarlos.
Extintores adecuados: Otro de los problemas es la
utilizacin de extintores inadecuados que pueden
provocar mayor perjuicio a las mquinas (extintores
lquidos) o que producen gases txicos.
(13)
http://www.monografias.com/trabajos14/datos/datos.shtml
Correcto uso de extintores: Tambin se debe ver si el
personal sabe usar los equipos contra incendio y si ha
habido prcticas en cuanto a su uso.
Extintor cargado: Es necesario verificar que los extintores
se encuentre cargados y esta carga debe ser realizada en
un centro de mantenimiento respectivo.
Probar el extintor: Deben ser probados peridicamente a
fin de que estos puedan funcionar en los casos de
emergencias.
2.3.4.2. Humo
El rea de sistemas y el resto de la organizacin deben
poseer detectores de humo los cuales deben activarse de
forma automtica al momento de una emanacin
considerable de humo.
Estos dispositivos deben probarse regularmente para
corroborar su funcionamiento.
En caso de ser detectores de incendios con prolongacin
automtica de agua, deben ubicarse en reas lejos de los
equipos y material no recuperable por contacto con agua.
2.3.5. Seguridad contra desastres provocados por agua
Se refiere a la importancia de mantener controlados los
riesgos de sufrir prdidas de informacin y equipos a causa
del agua.
Algunas precauciones que se deben tomar son (14):
Ubicacin del rea de sistemas: En caso de que la
organizacin est situada en una zona de inundaciones o
con problemas de drenaje la mejor opcin es situar el rea
de sistemas donde el riesgo de inundacin no sea
evidente sin descuidar la seguridad que se debe tener en
el acceso a la misma.
Instalacin de detectores de agua o inundacin, bombas
de emergencia: Esto servir en caso de inundaciones
inesperadas.
(14)
Instalacin de un falso suelo o situar los equipos a cierta
distancia del suelo: Esto evitara que el agua llegue a
tocar a los equipos causando dao en ellos y la prdida
de informacin
2.3.6. Seguridad de backups o respaldos
Un respaldo o backup es una copia de los datos escrita en
cinta u otro medio de almacenamiento duradero.
La proteccin fsica de la informacin almacenada en
backups consiste en la proteccin de los diferentes medios
donde residen nuestras copias de seguridad.
Se debe tener presente que si las copias contienen toda la
informacin de la organizacin hay que protegerlas igual que
se protegen los sistemas o los equipos.
De manera rutinaria se debe recordar a los usuarios de
computadoras que deben respaldar su trabajo con frecuencia
debido a que estas copias de seguridad del sistema son con

frecuencia el nico mecanismo de recuperacin que poseen
los administradores para restaurar una mquina que por
cualquier motivo ha perdido datos.
Por tanto, una correcta poltica para realizar, almacenar y, en
caso de ser necesario, restaurar los backups es vital en la
planificacin de seguridad de todo sistema.
El objetivo principal de crear respaldos de la informacin es
la de poder mantener la continuidad del negocio despus de
algn incidente de seguridad, as tambin existen otras
tareas importantes en la seguridad que tienen los respaldos
como(15):
Proteger la informacin en caso de que falle el equipo.
Proteger la informacin en caso de borrado accidental de
archivos.
Proteger la informacin contra irrupciones, ya que los
archivos borrados o modificados por un atacante pueden
Seguridad y Comercio en el Web, Simson Garfinkel y Gene Spafford, Mc.

(15)
Graw Hill, 1999, Pag: 267, 268.

ser restaurados
Ayudar a determinar la existencia del dao causado por
un atacante, ya que es posible detectar cambios en el
sistema comparando sus archivos con los almacenados
en las cintas de respaldo.
Sin embargo, los sistemas de respaldo no estn exentos
de problemas y se deben tomar las precauciones
necesarias para su proteccin
2.3.6.1. Proteccin de respaldos
Los respaldos deben ser un prerrequisito de cualquier
operacin de cmputo, segura o no. Pero la informacin
contenida en los respaldos es extremadamente vulnerable.
Cuando se utiliza un medio de almacenamiento cualquiera
como respaldo cualquier persona que lo obtenga puede leer
la informacin.
Por esta razn se deben proteger los respaldos por lo menos
con tanto cuidado como a las computadoras mismas. stas
son algunas sugerencias para proteger los respaldos (16):
Verificar datos de la cinta de respaldo: Estos datos deben
ser correctos para que puedan emplearse para restaurar
un sistema en funcionamiento. De otra forma, un
respaldo puede dar un falso sentido de seguridad.
Anlisis de los sistemas que respaldan varias
computadoras a travs de una red: Deben ser analizados
pues con frecuencia otorgan al servidor de respaldos
control considerable sobre las computadoras que
ejecutan clientes de respaldos y si un atacante irrumpe
en la computadora que inicia los respaldos, es posible
que cualquier sistema respaldado por esta est tambin
comprometido.
Encriptacin de las cintas de respaldo: Las cintas de
respaldo contienen todos los archivos y se deben
proteger con tanto cuidado como las computadoras y
Seguridad Prctica en UNIX e Internet, Segunda Edicin, Simson Gar

(16)
Finkel y Spafford Gene, Mc. Graw Hill, 1999, Pag: 325.

sera prudente encriptar las cintas de respaldo para que,
en caso de ser robada una de ellas, los datos no puedan
comprometerse.
Ubicacin de los respaldos: Deben guardarse los
respaldos en locales diferentes donde reside la
informacin primaria evitando as la prdida si en caso de
desastre este hubiese alcanzado todo el edificio.
Almacenamiento de los respaldos: El almacenamiento de
los backups debe realizarse bajo condiciones
ambientales ptimas, dependiendo del medio empleado.
Las cintas de respaldos debern estar guardadas bajo la
vigilancia del administrador del sistema en un lugar
seguro como una caja fuerte.
Etiquetar los respaldos: Es necesario para poder
identificar el contenido de las copias de seguridad con
abundante informacin y as recuperar la informacin ms
rpido, la etiqueta debe contener la siguiente informacin:
- Sistemas de ficheros almacenados.

- Da y hora de la realizacin, sistema al que
corresponde, etc.
Entrega de respaldos: Los respaldos no deben ser
entregados a servicios de mensajera a los que no se
tenga confianza.
Eliminacin de respaldos: Antes de eliminar los respaldos
deben ser borradas. Las cintas de respaldo se deben
limpiar antes de venderlas, usarlas como cintas de
copiado temporal o de deshacerse de ellas de otras
formas.
Reemplazo de respaldos: Debe realizrselo en forma
peridica, antes que el medio magntico de soporte se
pueda deteriorar.
Pruebas de los respaldos: Se deben realizar pruebas
peridicas de los backups, verificando su funcionalidad, a
travs de los sistemas, comparando resultados
anteriores confiables.
Registro de Backups: Es obligatorio el uso de un
formulario estndar para el registro y control de los
backups.
Es posible administrar los riesgos asociados con los
respaldos si se tienen adecuadas medidas de control hacia
ellos.
2.3.7. Seguridad de otros equipos
En muchas ocasiones los responsables de seguridad de los
sistemas tienen muy presente que la informacin a proteger
se encuentra en los equipos, en las copias de seguridad o
circulando por la red y por lo tanto toman medidas para
salvaguardar estos medios, pero olvidan que esa informacin
tambin puede encontrarse en lugares menos obvios, como
impresoras, faxes, copiadoras, informacin impresa, entre
otros.
Evidentemente, hay que tomar medidas contra estos
problemas de seguridad que pueden surgir en cualquier

dispositivo por el que pueda salir informacin de nuestro
sistema algunas pueden ser:
Ubicacin de los equipos: Deben estar situados en un
lugar de acceso restringido.
Tambin es conveniente que sea de acceso restringido el
lugar donde los usuarios recogen los documentos que
lanzan a estos dispositivos.
Retiro de copias: Se debe elegir a una persona que se
encargue del retiro de copias aunque quizs esto puede
ser imposible de implementar o por lo menos muy difcil en
empresas que tengan un gran nmero de usuarios.
Trituradoras de Papel: El empleo de estos dispositivos
dificulta muchsimo la reconstruccin y lectura de un
documento destruido. A un bajo costo se pueden
conseguir uno de estos equipos, que suele ser suficiente
para acabar con cantidades moderadas de papel.
Archivado de Documentos: Es recomendable que los
empleados no dejen expuestos los documentos sobre los
escritorios y que sean inmediatamente archivados

despus de su uso para evitar cualquier extravo de
documento intencional o accidental.
2.3.8. Seguros
Tener un seguro que cubra la totalidad de la prdida
ocasionada por un incidente es una obligacin que debe
asumir la organizacin mediante la contratacin de un
seguro.
Los seguros de los equipos en algunas ocasiones se dejan
en segundo trmino aunque son de gran importancia, debido
al poco conocimiento de los riesgos a los que est expuesta
la computadora y por ende la informacin que en ella se
procesa.
En ocasiones estos riesgos no son entendibles para las
compaas de seguros, debido a lo nuevo de la herramienta,
a la poca experiencia existente sobre desastres y al rpido
avance de la tecnologa.
Las consideraciones que debe tener la organizacin acerca
de la pliza de seguro que poseen sus equipos son (17):
Verificar las fechas de vencimiento de las plizas, pues
puede suceder que se tenga la pliza adecuada pero
vencida.
Actualizacin de la pliza, se debe tener la pliza
actualiza con los nuevos equipos adquiridos por la
organizacin.
Cobertura del seguro, el seguro debe cubrir todo el equipo
y su instalacin por lo que es probable que una sola
pliza no pueda cubrir todo el equipo con las diferentes
caractersticas (existe equipo que puede ser transportado,
como computadoras personales y otras que no se pueden
mover como unidades de disco duro), por lo que tal vez
convenga tener dos o ms plizas por separado, cada una
con las especificaciones necesarias.

(17)
Garca, Mc. Graw Hill, 2001, Pag: 240

La cobertura del seguro es otro punto importante en
consideracin ya que de esto depende la recuperacin total
de la prdida sufrida por la empresa.
2.3.8.1. Cobertura de la pliza de aseguramiento
La pliza de seguro debe cubrir todos los activos que corran
riesgos debido a diferentes incidentes que puedan suceder
debido a varias circunstancias como robo, incendio,
inundaciones, fallas elctricas entre otras; se debe considerar
tambin que existen riesgos que son difciles de evaluara y
de asegurar como la negligencia.
Las consideraciones con respecto a la cobertura del seguro
pueden ser:
Los seguros deben estar a precio de compra y no a precio
al momento de contratacin del seguro.
El seguro debe cubrir tanto daos causados por factores
externos (terremoto, inundacin, etc.) como internos
(daos ocasionados por negligencia de los empleados,
daos debidos al aire acondicionado, etc.)

Tambin debe cubrir la prdida de los programas
(software), de la informacin, de los equipos y el costo de
recuperacin de lo anterior.
En el caso de los programas se tendr en cuenta en el
momento de asegurarlos el costo de elaboracin de
determinado equipo, el costo de crearlos nuevamente y su
valor comercial.
En el caso del personal, se pueden tener fianzas contra
robo, negligencia, daos causados por el personal,
sabotaje, acciones deshonestas, etc.
2.3.8.2. Trminos generales de un seguro de equipo de
cmputo
A manera de ejemplo y en forma general, un seguro de
equipo de computacin considera lo siguiente (18):

(18)
Garca, Mc. Graw Hill, 2001, Pag: 241.

Bienes que se puedan amparar: Cualquier tipo de equipo
electrnico como: de cmputo, de comunicacin, etc.
Con excepcin de los que formen parte de equipo
especial en automviles, camiones, buques, aviones.
Riesgos cubiertos: La cobertura bsica cubre contra todo
riesgo de prdida sbita, accidental e imprevista, con
excepcin de las exclusiones que se indican en las
condiciones generales de la pliza.
Esta cobertura ampara riesgos como: incendio, rayo,
explosin, picos de energa, cortocircuitos,
sobretensiones, etc.
Riesgos excluidos: Pero que pueden ser cubiertos bajo
convenio expreso son: terremoto y erupcin volcnica;
huracn, cicln y tifn; equipos mviles o porttiles;
huelgas y motn; hurto.
Exclusiones: Las indicadas en las condiciones generales
de cada seguro.
Suma asegurada: En todos los casos se tiene que reportar
como suma asegurada el valor de reposicin de los
equipos a asegurar (a valor nuevo sin descontar
depreciacin).
Primas, cuotas y deducibles: Dependen del tipo de
equipo.
Indemnizacin en caso de siniestro: Las prdidas
parciales se indemnizan a valor de reposicin (valor
nuevo) y las prdidas totales a valor real (valor nuevo
menos depreciacin).
2.4. Seguridad Lgica
La seguridad lgica consiste en la aplicacin de barreras y
procedimientos para mantener la seguridad en el uso de software, la
proteccin de los datos, procesos y programas, as como la del
acceso ordenado y autorizado de los usuarios a la informacin.
Los objetivos de la seguridad lgica buscan:

Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una
supervisin minuciosa y no puedan modificar los programas ni
los archivos que no correspondan.
Asegurar que se estn utilizados los datos, archivos y programas
correctos en y por el procedimiento correcto.
Que la informacin transmitida sea recibida slo por el
destinatario al cual ha sido enviada y no a otro.
Que la informacin recibida sea la misma que ha sido
transmitida.
Que existan sistemas alternativos secundarios de transmisin
entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la
transmisin de informacin.
2.4.1. Seguridad en los accesos
Se refiere a los controles que pueden implementarse para
proteger el sistema operativo de la red, los sistemas de
aplicacin y dems software de la utilizacin o modificaciones
no autorizadas.
Para mantener la integridad de la informacin, restringiendo
la cantidad de usuarios y procesos con acceso permitido y
para resguardar la informacin confidencial de accesos no
autorizados.
Los requisitos mnimos de seguridad en cualquier sistema
son:
Identificacin y autentificacin.
Roles.
Transacciones.
Limitaciones a los servicios.

Modalidad de Acceso.
Ubicacin y horario.
2.4.1.1. Identificacin y autenticacin
Es la primera lnea de defensa para la mayora de los
sistemas computarizados, permitiendo prevenir el ingreso de
personas no autorizadas.
Es la base para la mayor parte de los controles de acceso y
para el seguimiento de las actividades de los usuarios.
Identificacin.- Se define as al momento en que el
usuario se da a conocer en el sistema.
Autenticacin.- Es la verificacin que realiza el sistema
sobre esta identificacin.
La medida ms utilizada que permite la autenticacin de la
identidad del usuario es algo que solamente el individuo
conoce como es una clave secreta de acceso o password.

2.4.1.1.1. Palabras claves o password
Las palabras claves o password se utilizan para realizar la
autenticacin del usuario y sirven para proteger los datos y
aplicaciones.
Son la barrera ms comn en contra de accesos no
autorizados a un sistema y prcticamente son la nica
barrera.
Los controles implementados a travs de la utilizacin de
palabras clave resultan de muy bajo costo, es por eso que
hay que poner especial atencin en el tema de la eleccin de
las palabras claves que servirn de identificacin para el
usuario que accede al sistema de datos de una organizacin.
2.4.1.1.1.1. Pautas de eleccin de claves
La eleccin de la clave es muy importante ya que ser la
identificacin que tendr el usuario al ingresar al sistema de

la organizacin. Para escogerla se debe tener en cuenta los
siguientes consejos(19):
No utilizar contraseas que sean palabras o nombres. En
la mayora de los casos los usuarios son muy predecibles
al escoger palabras que con frecuencia son aquellas que
significan o tienen un nivel de importancia en su vida
como: el propio nombre del usuario, personajes de ficcin,
miembros de la familia, mascotas, marcas, ciudades,
lugares, u otro relacionado.
No usar contraseas completamente numricas con algn
significado. Por lo general las personas escogen datos
como telfono, cedula, fecha de nacimiento, placa del
automvil, etc, que son ms fciles de recordar para ellos.
Elegir una contrasea que mezcle caracteres alfabticos
(maysculas y minsculas) y numricos.
Deben ser largas. Mnimo de 8 caracteres y mximo 10.
(19)
http://www.segu-info.com.ar/logica/seguridadlogica.htm
Tener contraseas diferentes en mquinas diferentes. Es
posible usar una contrasea base y ciertas variaciones
lgicas de la misma para distintas mquinas.
Deben ser fciles de recordar para no verse obligado a
escribirlas. Es decir palabras que no olvidarn y sern
difciles de descifrar para cualquier extrao. Algunos
ejemplos son:
- Combinar palabras cortas con algn nmero o carcter
de puntuacin: soy2_yo3.
- Usar una combinacin de las primeras letras de alguna
frase fcil de recordar: (A) (r)o (R)evuelto
(G)anancia (d)e (P)escadores por lo tanto la clave
quedara ArRGdP.
- Aadir un nmero a la combinacin de las letras de la
frase escogida para mayor seguridad: Usando la
clave anterior aadimos los nmeros quedando
A9r7R5G3d1P.
- Realizar reemplazos de letras por signos o nmeros:
(E)n (S)eguridad (M)s (V)ale (P)revenir (q)ue
(C)urar entonces si reemplazamos la E por el 3 y la S
por el 5 y tomamos las primeras letras de las otras
palabras la clave quedara 35MVPqC.
2.4.1.1.1.2. Reglas para proteger una clave
La proteccin de la contrasea recae tanto sobre el
administrador del sistema como sobre el usuario. Al
comprometer una cuenta se puede estar comprometiendo
todo el sistema.
Algunos consejos a seguir (20):
No permitir ninguna cuenta sin contrasea. Si se es
administrador del sistema, repasar este hecho
peridicamente.
(20)
No mantener las contraseas por defecto del sistema. Por
ejemplo, cambiar las cuentas de Root, System, Test,
Demo, Guest, etc.
Nunca compartir con nadie la contrasea. Si se hace,
cambiarla inmediatamente.
No escribir la contrasea en ningn sitio. Si se escribe, no
debe identificarse como tal y no debe identificarse al
propietario en el mismo lugar.
No teclear la contrasea si hay alguien mirando. Es una
norma tcita de buen usuario no mirar el teclado mientras
alguien teclea su contrasea.
No enviar la contrasea por correo electrnico ni
mencionarla en una conversacin. Si se debe mencionar
no hacerlo explcitamente diciendo: "mi clave es...".
No mantener una contrasea indefinidamente. Cambiarla
regularmente. Disponer de una lista de contraseas que
puedan usarse cclicamente (por lo menos 5).

Muchos sistemas incorporan ya algunas medidas de gestin y
proteccin de las contraseas.
Entre ellas podemos citar las siguientes:
Nmero de intentos limitado. Tras un nmero de intentos
fallidos, pueden tomarse distintas medidas:
- Obligar a reescribir el nombre de usuario (lo ms
comn).
- Bloquear el acceso durante un tiempo.
- Enviar un mensaje al administrador y/o mantener un
registro especial.
Longitud mnima. Las contraseas deben tener un nmero
mnimo de caracteres (se recomienda 7 u 8 como mnimo).
Restricciones de formato. Las contraseas deben
combinar un mnimo de letras y nmeros, no pueden
contener el nombre del usuario ni ser un blanco.

Envejecimiento y expiracin de contraseas. Se lleva un
control de cundo pueden y/o deben cambiar sus
passwords los usuarios.
Se define el perodo mnimo que debe pasar para que los
usuarios puedan cambiar sus passwords, y un perodo
mximo que puede transcurrir para que stas caduquen.
Ataque preventivo. Muchos administradores utilizan
crackeadores para intentar atacar las contraseas de su
propio sistema en busca de debilidades.
2.4.1.1.1.3. Proteccin contra la intercepcin de claves
La nica forma de prevenirse contra la intercepcin de claves
es no utilizar nombres de usuario en texto llano y claves de
acceso reutilizables.
En la actualidad, existen dos opciones comunes:
Utilizar un sistema de claves de acceso no reutilizables:
Esto se lleva a cabo entregando al usuario un listado con
cientos de claves de acceso y cada vez que utilizan una

de ellas, la tachan y utilizan la siguiente.
Utilizar un sistema basado en encriptacin: Evita el
envi de la clave de acceso en forma llana a travs de
la red.
La informacin encriptada solamente puede ser
desencriptada por quienes posean la clave apropiada.
2.4.1.2. Roles
El acceso a la informacin tambin puede controlarse a
travs de la funcin o rol del usuario que requiere dicho
acceso.
Algunos ejemplos de roles seran los siguientes:
programador, lder de proyecto, gerente de un rea usuaria,
administrador del sistema, etc.
En este caso los derechos de acceso pueden agruparse de
acuerdo con el rol de los usuarios (21).
(21)
2.4.1.3. Transacciones
Tambin pueden implementarse controles a travs de las
transacciones, por ejemplo solicitando una clave al requerir el
procesamiento de una transaccin determinada (22).
2.4.1.4. Limitaciones a los Servicios
Estos controles se refieren a las restricciones que dependen
de parmetros propios de la utilizacin de la aplicacin o
preestablecidos por el administrador del sistema.
Un ejemplo podra ser que en la organizacin se disponga de
licencias para la utilizacin simultnea de un determinado
producto de software para cinco personas, en donde exista
un control a nivel sistema que no permita la utilizacin del
producto a un sexto usuario (23).
2.4.1.5. Modalidad de Acceso
(22)
(23)
Se refiere al modo de acceso que se permite al usuario sobre
los recursos y a la informacin. Esta modalidad puede ser (24):
Lectura: el usuario puede nicamente leer o visualizar la
informacin pero no puede alterarla. Debe considerarse
que la informacin puede ser copiada o impresa.
Escritura: este tipo de acceso permite agregar datos,
modificar o borrar informacin.
Ejecucin: este acceso otorga al usuario el privilegio de
ejecutar programas.
Borrado: permite al usuario eliminar recursos del sistema
(como programas, campos de datos o archivos).
El borrado es considerado una forma de modificacin.
Todas las anteriores.
Adems existen otras modalidades de acceso especiales,
que generalmente se incluyen en los sistemas de aplicacin:
(24)
Creacin: permite al usuario crear nuevos archivos,
registros o campos.
Bsqueda: permite listar los archivos de un directorio
determinado.
2.4.1.6. Ubicacin y Horario
El acceso a determinados recursos del sistema puede estar
basado en la ubicacin fsica o lgica de los datos o
personas.
En cuanto a los horarios, este tipo de controles permite limitar
el acceso de los usuarios a determinadas horas de da o a
determinados das de la semana.
De esta forma se mantiene un control ms restringido de los
usuarios y zonas de ingreso.
Se debe mencionar que estos dos tipos de controles siempre
deben ir acompaados de alguno de los controles
anteriormente mencionados.
2.4.1.7. Separacin de las instalaciones de desarrollo y
produccin
La separacin de las instalaciones para desarrollo y
produccin es importante porque pueden causar serios
problemas como cambios no deseados en los archivos o en
el entorno del sistema o fallas del sistema. As tambin
deben estar separadas las funciones de desarrollo y
produccin para reducir el riesgo de cambios accidentales o
del acceso no autorizado al software de produccin y a los
datos de la organizacin.
Para su seguridad debera tomarse en cuenta lo siguiente:
El software de produccin y desarrollo deberan si es
posible funcionar en procesadores diferentes, o en
dominios o directorios distintos.
Las tareas de desarrollo y de prueba deberan separarse
tanto como sea posible.

Se deberan usar diferentes claves de usuario en los
sistemas de produccin y desarrollo, para reducir el riesgo
de confusin.
2.5. Seguridad en Redes
Las redes en las empresas son los medios que permiten la
comunicacin de diversos equipos y usuarios es as que es
prioridad en la empresa mantener su seguridad debido a la
informacin que por ellas se transmite como son los datos de
clientes, servicios contratados, reportes financieros y
administrativos, estrategias de mercado, etc.,
La seguridad de las redes y la informacin puede entenderse como
la capacidad de las redes o de los sistemas de informacin para
resistir, con un determinado nivel de confianza, todos los accidentes
o acciones malintencionadas, que pongan en peligro la
disponibilidad, autenticidad, integridad y confidencialidad de los
datos almacenados o transmitidos y de los correspondientes
servicios que dichas redes y sistemas ofrecen o hacen accesibles y
que son tan costosos como los ataques intencionados.

Dentro de la organizacin existen redes internas o intranet y las
redes externas o extranet que deben ser protegidas de acuerdo a
las amenazas a las que cada una est expuesta, estableciendo
mecanismos de seguridad contra los distintos riesgos que pudieran
atacarlas.
El mantener una red segura fortalece la confianza de los clientes en
la organizacin y mejora su imagen corporativa,
2.5.1. Seguridad en la red interna o intranet
La red interna o intranet est formada por el conjunto de
computadoras interconectadas a travs de un servidor con la
finalidad de compartir informacin y recursos de forma
eficiente y rpida dentro de la organizacin.
El riesgo al que est frecuentemente expuesta esta red es el
que viene del uso inadecuado del sistema por parte de los
propios usuarios.
Ya sea por mala fe o descuido un usuario con demasiados
privilegios puede destruir informacin.
Las medidas de seguridad que requiere la intranet para
disminuir el riesgo existente por parte de los usuarios que son
quienes hacen uso constante de la red son la encripcin y las
contraseas para validar usuarios.
Estas medidas lgicas de seguridad son gestionadas por el
administrador de la red y son explicadas con ms detalle en
este mismo captulo dentro de la seccin 2.4 que trata el tema
de seguridad lgica.
2.5.2. Seguridad en la red externa o extranet
La red externa ms grande que existe es internet y en la
actualidad es desde donde se producen la gran mayora de
ataques por parte de personas que tienen el propsito de
destruir o robar datos empresariales causando prdidas de
dinero. La seguridad en internet es un conjunto de
procedimientos, prcticas y tecnologas para proteger a los
servidores y usuarios de esta red y las organizaciones que

los rodean. La seguridad es una proteccin contra el
comportamiento inesperado.
2.5.2.1. Peligros en la red externa
Internet es una red de dos sentidos. As como hace posible
que los servidores de internet divulguen informacin a
millones de usuarios, permite a otros vndalos irrumpir en las
mismas computadoras donde se ejecutan los servidores de
internet. Hay dos grandes tipos de peligros potenciales que
pueden comprometer nuestra informacin desde una red
externa(25):
Ataques Indiscriminados. Suelen ser los ms
frecuentes y tambin los menos dainos. Dentro de esta
categora podemos incluir los troyanos y los virus. Cuyos
ataques pueden ser contrarestados por los antivirus.
Ataques a medida. Mucho menos comunes que los
anteriores y tambin ms peligrosos son los ataques que

Criptografa y Seguridad en Computadoras, Segunda Edicin, Manuel
(25)
Jos Lucena Lpez, Universidad de Jaen, Septiembre 1999, Pag: 137, 138.
generalmente llevan a cabo los hackers. En estos casos
las victimas ms frecuentes casi siempre son las grandes
corporaciones.
2.5.2.2. Medidas de seguridad en Internet
Las lneas de defensa contra intrusos en internet y que ms
son implementados por las organizaciones para proteger sus
datos son el firewall y los antivirus
2.5.2.2.1. Firewall o puerta de seguridad
Los firewalls son parte de la estrategia de seguridad de una
organizacin debido a que manejan el acceso entre dos
redes la red interna y la red externa y si no existiera el firewall
todas las computadoras de la red estaran expuestas a
ataques desde el exterior (internet), quizs uno de los
elementos ms conocidos a la hora de establecer seguridad,
sea este.
Aunque debe ser uno de los sistemas a los que ms se debe
prestar atencin ya que la seguridad de toda la red, estara

dependiendo de que tan fcil fuera violar la seguridad local
de cada mquina interna.
El objetivo del firewall es:
Controlar todo el trfico desde dentro hacia fuera de la
organizacin, y viceversa, y cualquier dato, archivos entre
otros debe pasar a travs de l para que pueda tener
acceso el usuario de la red.
Slo el trfico autorizado, definido por la poltica local de
seguridad en el firewall se le permite el acceso a la red de
la organizacin.
El firewall slo sirve de defensa perimetral de las redes, no
defiende de ataques o errores provenientes del interior, como
tampoco puede ofrecer proteccin una vez que el intruso lo
traspasa.
2.5.2.2.1.1. Limitaciones del firewall

El firewall es el punto ideal para monitorear la seguridad de la
red y generar alarmas de intentos de ataques, pero el firewall
tambin tiene sus limitaciones (26):
Vulnerabilidades que no se corrigen y que
coincidentemente o no, son descubiertas por intrusos.
Los Firewalls no son sistemas inteligentes, ellos actan
de acuerdo a parmetros introducidos por su diseador,
por ende si un paquete de informacin no se encuentra
dentro de estos parmetros como una amenaza de peligro
simplemente lo deja pasar.
El firewall no es contra humanos. Es decir que si un
intruso logra entrar a la organizacin y descubrir
passwords o las vulnerabilidades del Firewall y difunde
esta informacin, el Firewall no se dar cuenta.
Tampoco provee herramientas contra la filtracin de
software o archivos infectados con virus. Aunque es
posible dotar a la mquina, donde se aloja el Firewall, de
antivirus apropiados.
(26)
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
Ests limitaciones deben ser tomadas en cuenta por la
organizacin ya que su informacin est expuesta a intrusos
sino cuenta con las debidas seguridades.
2.5.2.2.2. Antivirus
Los virus son el mayor riesgo de seguridad para una red,
debido a que afectan a toda la informacin daando los
archivos que se guardan en las computadoras, impidiendo
que los usuarios trabajen normalmente.
La medida bsica de seguridad que se debe tomar en estos
casos son los antivirus. Estos antivirus son aplicaciones o
programas dedicados a detectar y eliminar virus informticos.
2.5.2.2.2.1. Tcticas antivricas
Las tcticas antivricas son nada ms que maneras o formas
en que los usuarios pueden preparase y afrontar situaciones
como la infeccin de su equipo por la causa de un virus.
Estas tcnicas son(27):
(27)
http://www.monografias.com/trabajos6/sein/sein.sht
Preparacin y prevencin
Deteccin de virus
Contencin y recuperacin
A continuacin explicaremos cada uno de estas tcnicas.
2.5.2.2.2.1.1. Preparacin y prevencin
Los usuarios pueden prepararse frente a una infeccin viral
creando regularmente copias de seguridad del software
original legtimo y de los archivos, para poder recuperar el
sistema informtico en caso necesario. Puede copiarse en un
CD el software del sistema operativo y proteger el disco
contra escritura, para que ningn virus pueda sobrescribir el
disco. Las infecciones virales pueden prevenirse obteniendo
los programas de fuentes legtimas, empleando una
computadora en cuarentena para probar los nuevos
programas y protegiendo contra escritura los CDs siempre
que sea posible.

2.5.2.2.2.1.2. Deteccin de virus
Para detectar la presencia de un virus pueden emplearse
varios tipos de programas de antivirus. Los programas de
antivirus pueden reconocer las caractersticas del cdigo
informtico de un virus y buscar estas caractersticas en los
archivos del computador. Como los nuevos virus tienen que
ser analizados cuando aparecen, los programas de virus
deben ser actualizados peridicamente para resultar
eficaces.
2.5.2.2.2.1.3. Contencin y recuperacin
Una vez detectada una infeccin viral, sta puede contenerse
aislando inmediatamente los computadores de la red,
deteniendo el intercambio de archivos y empleando slo
discos protegidos contra escritura.
Para que un sistema informtico se recupere de una infeccin
viral, primero hay que eliminar el virus.

Algunos programas antivirus intentan eliminar los virus
detectados, pero a veces los resultados no son satisfactorios.
Se obtienen resultados ms fiables desconectando la
computadora infectada, arrancndola de nuevo desde un
disco flexible protegido contra escritura, borrando los
archivos infectados y sustituyndolos por copias de seguridad
de archivos legtimos y borrando los virus que pueda haber
en el sector de arranque inicial.
2.6. Seguridad en los Recursos Humanos
Las personas son necesarias para que trabajen en las
computadoras pero tambin es cierto que la mayor amenaza para
los sistemas de seguridad de una empresa es la deshonestidad y
negligencia de sus propios empleados. Los gerentes deben poner
mucha atencin al personal que contratan para puestos con acceso
a los sistemas computarizados de informacin y de datos delicados
ya que alguien totalmente negligente puede causar tanto dao como
alguien que sea deshonesto por naturaleza.

Para mantener la seguridad en los recursos humanos que trabajarn
y trabajan en la organizacin es necesario considerar lo siguiente:
Investigar sus antecedentes.
Establecer acuerdos de confidencialidad.
Fijar los trminos y condiciones de la relacin laboral.
Capacitacin continua y concientizacin.
Segregacin de funciones.
Despidos y renuncias.
2.6.1. Investigacin de antecedentes
Al contratar a empleados nuevos se debe investigar sus
antecedentes. Pidiendo a los candidatos que llenen una
solicitud y luego se deben verificar todas las referencias que
ha dado el candidato para conocer su pasado, incluyendo las
razones por las que cambia de trabajo.

Es importante verificar las fechas de contratacin y
separacin buscando pistas que puedan dar indicios de
hechos que el aspirante no haya mencionado. Tambin se
requiere verificar el historial acadmico y las distinciones.
Un candidato que miente en su solicitud de empleo no ha
establecido una buena base para confiar en l.
A veces es prudente investigar ms a fondo la historia y la
personalidad de los candidatos. Puede requerirse (28):
Contratar a una agencia de investigaciones para verificar
el historial.
Obtener una copia de los antecedentes penales del
individuo.
Revisar la historia de crdito del candidato buscando
deudas personales cuantiosas y la imposibilidad de
pagarlas. Estos problemas deben discutirse, si se
presentan, con el candidato.

(28)

Usar un detector de mentiras (si es legal).
Exigir una fianza al candidato si se le emplea.
No se recomienda aplicar estas medidas en general para
contratar a todos los empleados. Pero s debe examinarse
cuidadosamente a quienes se les aplicar preferentemente a
los que sern contratados para trabajos de confianza o que
requieran acceso privilegiado, incluyendo al personal de
mantenimiento y limpieza.
Tambin se considera apropiado avisar a los candidatos que
se realizarn estas revisiones para obtener su
consentimiento. Esta cortesa facilitar las investigaciones y
le advertir al candidato que las precauciones de seguridad
se toman en serio.
2.6.2. Acuerdos de confidencialidad
Estos acuerdos de confidencialidad o no divulgacin sirven
para notificar que informacin es secreta o confidencial. Los

empleados debern firmar, normalmente, dicha clusula como
parte de sus trminos o condiciones iniciales de trabajo.
La organizacin debera requerir la firma de un acuerdo de
confidencialidad con el personal temporal y los usuarios que
son terceras partes no cubiertos por un contrato de trabajo
(que contiene clusulas de confidencialidad) antes de su
acceso a los recursos de tratamiento de informacin.
Las clusulas de confidencialidad deberan revisarse cuando
cambien los trminos del empleo o contrato, especialmente
cuando los empleados dejen la organizacin o sus contratos
terminen
2.6.3. Trminos y condiciones de la relacin laboral
Los trminos y condiciones de la relacin laboral deberan
indicar la responsabilidad de los empleados en cuanto a la
seguridad de la informacin. Donde sea apropiado, dicha
responsabilidad debera continuar durante un periodo
definido tras la finalizacin del contrato.

Debera incluirse qu hacer si el empleado incumple los
requisitos de seguridad.
Deberan aclararse e incluirse en los trminos y las
condiciones de empleo las responsabilidades y derechos
legales, por ejemplo, respecto a las leyes de propiedad
intelectual o de proteccin de datos. Tambin debera
incluirse la responsabilidad por la clasificacin y gestin de
los datos del empleador.
Los trminos y las condiciones del contrato deberan
establecer, cuando proceda, que dichas responsabilidades se
extienden fuera del mbito de la organizacin y de las horas
normales de trabajo.
2.6.4. Capacitacin continua y concientizacin
Los usuarios deben recibir peridicamente informacin
actualizada sobre la seguridad y el uso apropiado de las
computadoras. Esta capacitacin continua es una
oportunidad de explicar las buenas costumbres, recordarles a
los usuarios las amenazas y las consecuencias de las fallas,

y proporcionar un foro para discutir las preguntas y
preocupaciones del personal.
Los colaboradores de los administradores de sistemas deben
tener la oportunidad de capacitarse continuamente.
Esto incluye asistir a reuniones profesionales y seminarios,
suscribirse a revistas tcnicas y gremiales, y comprar libros
de referencia y otros materiales.
Deben tener tiempo para leer y usar este material y recibir
incentivos para dominarlo.
Junto con la capacitacin continua puede considerarse un
programa de concientizacin continua.
Esto incluye la colocacin de avisos acerca de las buenas
costumbres, usar mensajes diarios con consejos y
recordatorios, realizar un da de concientizacin cada datos
o tres meses y llevar a cabo otros eventos que eviten que la
seguridad caiga en el olvido.

Los planes deben, claro est, tomar en cuenta el tamao y la
naturaleza de la organizacin, los niveles de riesgo y el
tamao y tipo de la poblacin de los usuarios.
Se debe pensar en el costo de las actividades de
concientizacin y presupuestarlas (29).
2.6.5. Segregacin de funciones
Se refiere a la separacin cuidadosa de las funciones de
cada empleado de forma tal que los que deben vigilar el uso
inapropiado no puedan hacer uso indebido de los recursos.
Para esto se debe determinar las autorizaciones de cada
funcin, evaluando su nivel de riesgo para la organizacin y
de esta forma evitar que puedan suceder alteraciones en los
procesos, perpetracin de fraudes o accesos a informacin
confidencial.
Para el manejo de la seguridad de la informacin es
necesario separar la funcin de seguridad y la de monitoreo
ya que esto puede conducir a que se facilite la violacin de
las polticas de seguridad y la realizacin de actos prohibidos

(29)

sin que nadie se de cuenta del problema.
2.6.6. Despidos y renuncias
La salida de un empleado es un punto crtico de riesgo para
la organizacin.
En casos de problemas laborales y despidos, un empleado
modelo hasta la fecha, puede convertirse en una seria
amenaza, en estos casos hay que definir una sucesin de
acciones para manejar la partida. Este procedimiento debe
incluir el dar de baja a los empleados.
En muchas ocasiones, Recursos Humanos se encarga de
realizar los trmites legales de la baja, mientras que el
departamento de informtica se ocupa de dar de baja sus
accesos (en el momento en que perciben su ausencia). Este
escenario acaba degenerando en problemas tales como que
los accesos de los ex empleados siguen vigentes durante
meses, o que tras la marcha del empleado no es posible
recuperar cierta informacin vital que posea.

Para evitar todo esto, se debe comunicar de las bajas tan
pronto como se conozca de ellas, Recursos Humanos debe
comunicar las bajas de personal a Seguridad y en la
comunicacin se debe indicar el nombre, la fecha efectiva de
la baja, su clasificacin y cualquier medida o control especial
que sea necesario realizar.
2.7 Seguridad en Contrataciones externas o Outsourcing
Outsourcing o contratacin externa consiste en el uso de
recursos exteriores a la empresa para realizar actividades
tradicionalmente ejecutadas por personal y recursos internos.
Es una estrategia de administracin por medio de la cual una
empresa delega la ejecucin de ciertas actividades a
empresas especializadas, pero el outsourcing representa
riesgos en la seguridad de una organizacin.
2.7.1. Riesgos del outsourcing

Los riesgos involucrados en el proceso de Outsourcing pasan
de ser riesgos operacionales a riesgos estratgicos (30).
Riesgos operacionales: Estos riesgos afectan ms la
eficacia de la empresa.
Riesgos estratgicos: Afectan la direccin de la misma, su
cultura, la informacin compartida, entre otras.
Los principales riesgos de Outsourcing son:
No negociar el contrato adecuado.
No adecuada seleccin del contratista.
Puede quedar la empresa a mitad de camino si falla el
contratista.
Incrementa el nivel de dependencia de entes externos.
Inexistente control sobre el personal del contratista.
(30)
http://www.monografias.com/trabajos56/mpt/mpt.shtml
Incremento en el costo de la negociacin y monitoreo del
contrato.
Falta de concienciacin sobre seguridad de la
informacin.
Al delegar un servicio a un proveedor externo las empresas
estn permitiendo que personas ajenas a la organizacin
tengan la oportunidad de cometer actos ilcitos que pueden
poner en peligro la informacin que se maneja dentro de la
organizacin y otros activos de la empresa si no se cuenta
con un control adecuado sobre las actividades de este
personal.
Uno de los riesgos ms importantes del Outsourcing es que
el proveedor seleccionado no tenga las capacidades para
cumplir con los objetivos y estndares que la empresa
requiere del servicio que estn brindando.
2.7.2. Requisitos de seguridad en el outsourcing

La empresa que solicita el outsourcing deber tomar las
providencias (procedimientos, recursos fsicos y/o humanos,
etc.) de que pueda disponer para asegurar la
confidencialidad, integridad de su informacin a fin que
ningn tercero tenga facilidad de acceso a la misma.
Ciertos procedimientos de seguridad que se deben tomar en
cuenta al momento de contratar un outsourcing son:
Realizar una evaluacin y anlisis de riesgos: Con el fin
de determinar las implicaciones de seguridad y los
controles que sern requeridos para proteger los activos
de informacin del acceso de terceros; estos podran ser.
- Procedimientos para proteger los activos de la
organizacin, incluida la informacin y el software.
- Procedimientos para determinar si ha ocurrido algn
incremento del riesgo de los activos como una
prdida o modificacin de datos.
- Restricciones en la copia y divulgacin de la
informacin.
- Descripcin de cada servicio que est disponible.
- Detalle de las respectivas obligaciones de las partes
en el contrato.
- Responsabilidades sobre la instalacin y
mantenimiento del hardware y del software.
- Controles sobre el acceso de terceros a la
organizacin.
Acuerdo y definicin de los requerimientos y controles de
seguridad en el contrato: Estos debern contener qu y
cmo sern garantizados los requerimientos de seguridad.
Estas medidas de seguridad se tomarn en cuenta con el
objeto de garantizar que los recursos y servicios provistos
por terceros no impliquen una amenaza a la seguridad de la
organizacin.
Se va ha considerar tocar este punto en vista que la empresa
en la cual se ha desarrollado el caso prctico incluido en este
trabajo, tiene un servicio del rea de informtica como es el

de mantenimiento de los equipos a cargo de una empresa
ajena a la organizacin.
2.8 Plan de contingencias
El plan de contingencias tiene como finalidad proveer a la
organizacin de requerimientos para su recuperacin ante
desastres. En su elaboracin deben intervenir los niveles ejecutivos
de la organizacin, el personal usuario y el tcnico de los procesos.
2.8.1. Contenido del plan de contingencias
El plan de contingencia deber tomar en cuenta que debe ser
eficaz y eficiente para lograr reestablecer las operaciones de
la empresa. Este plan debe incluir:
La naturaleza, la extensin y la complejidad de las
actividades de la organizacin.
El grado de riesgo al que la organizacin est expuesta.

El tamao de las instalaciones de la organizacin (centro
de cmputo y nmero de usuarios).
La evaluacin de los procesos crticos.
La formulacin de las medidas de seguridad necesarias
dependiendo del nivel de seguridad requerido.
La justificacin del costo de implantar las medidas de
seguridad.
2.8.2. Etapas del plan de contingencia
Entre las etapas del proyecto del plan de contingencias
estn:
Anlisis del impacto en la organizacin.- En esta etapa se
identifican los procesos crticos o esenciales y sus
repercusiones en caso de no estar en funcionamiento
estos procesos.
Seleccin de la estrategia.- Una vez definido el grado de
riesgo, se elabora una lista de los sistemas con las

medidas preventivas que se deben tomar, as como las
correctivas en caso de desastre, sealndose a cada
funcin su prioridad.
Preparacin del plan.- La elaboracin del plan y de los
componentes puede hacerse en forma independiente de
acuerdo con los requerimientos de emergencia. La
estructura debe considerar facilitar su actualizacin
Prueba.- Para la prueba del plan se seleccionar el
personal que realice las actividades clave de ste. El
grupo de recuperacin en caso de emergencia debe estar
integrado por personal de Sistemas. Cada miembro
tendr una tarea y se le asignar una persona de
respaldo.
Mantenimiento y reevaluacin de los planes.- Este plan
se debe mantener con ayuda de revisiones y
actualizaciones regulares para asegurar la continuidad de
su eficacia.
2.9 Definiciones conceptuales

Accin de contingencia.- Accin a realizar en caso de un incidente
de seguridad.
Amenaza.- Cualquier evento que pueda provocar dao en los
Sistemas de informacin, produciendo a la empresa prdidas
materiales, financieras o de otro tipo.
Antivirus.- Dicho de un programa que detecta la presencia de virus
y puede neutralizar sus efectos.
Anlisis de riesgo.- Uso sistemtico de la informacin para
identificar las fuentes y estimar el riesgo.
Backup.- Copias de seguridad de los discos duros.
Base de Datos.- Cualquier conjunto de datos organizados para su
almacenamiento en la memoria de un ordenador o computadora,
diseado para facilitar su mantenimiento y acceso de una forma
estndar. Los datos suelen aparecer en forma de texto, nmeros o
grficos. Hay cuatro modelos principales de bases de datos: el
modelo jerrquico, el modelo en red, el modelo relacional (el ms
extendido hoy en da; los datos se almacenan en tablas a los que se

accede mediante consultas escritas en SQL) y el modelo de bases
de datos deductivas. Otra lnea de investigacin en este campo son
las bases de datos orientadas a objeto, o de objetos persistentes.
Controles.- Comprende los mtodos, sistemas y procedimientos,
que en forma ordenada, se adoptan en una organizacin, para
asegurar la proteccin de todos sus recursos.
Copias de Seguridad.- Copia de un programa informtico, de un
disco o de archivo de datos, realizada para archivar su contenido o
para proteger archivos valiosos contra su prdida en caso de que la
copia activa se dae o quede destruida. Una copia de seguridad
puede considerarse como una medida de seguridad contra la
prdida de datos producida por algn virus o por otro tipo de
incidencia. Ciertos programas de aplicacin realizan
automticamente copias de seguridad de archivos de datos,
manteniendo en disco tanto la versin actual como la precedente.
Adems, es una buena medida hacer copias de seguridad de
programas o de datos valiosos de difcil reconstruccin.
Defensa.- Cualquier medio, fsico o lgico, empleado para eliminar
o reducir un riesgo. Debe realizarse una valoracin cuantitativa de

su coste. Muchas veces se la conoce como medida de seguridad o
prevencin.
Encriptacin.- Conjunto de tcnicas que intentan hacer inaccesible
la informacin a personas no autorizadas. Por lo general, la
encriptacin se basa en una clave, sin la cual la informacin no
puede ser descifrada. Se puede hablar de dos sistemas de cifrado:
sistemas simtricos, en los que se utiliza la misma clave para cifrar y
descifrar el mensaje, y sistemas asimtricos, en los que se utiliza
una clave para cifrar el mensaje y otra distinta para descifrarlo.
Evaluacin del riesgo.- Evaluacin de amenazas a la informacin,
impactos sobre sta y vulnerabilidades de ella y de los medios
usados para su procesamiento, y de su probable ocurrencia.
Factores de riesgos.- Manifestaciones o caractersticas medibles u
observables de un proceso que indican la presencia de riesgo o
tienden a aumentar la exposicin, pueden ser interna o externa a la
entidad.
Firewall.- Cortafuegos, en seguridad informtica, dispositivo que
impide el acceso no autorizado a la red de rea local de una

organizacin; en ingls se denomina firewall. Puede estar
implementado en hardware, software o una combinacin de ambos.
El cortafuego puede residir en el servidor que acta como gateway
de la red de rea local o en un sistema dedicado emplazado entre la
red local e Internet, de manera que la red privada nunca accede a
Internet directamente. Realiza el seguimiento de todos los archivos
que entran o salen en la red de la organizacin para poder detectar
el origen de virus o de intentos de acceso no autorizado.
El cortafuego se considera una primera lnea de defensa en la
proteccin de la informacin; para mayor seguridad se deben
utilizar, por ejemplo, programas especficos de control de acceso,
antivirus o copias de seguridad.
Gobierno de TI.- Es una estructura de procesos para dirigir y
controlar a la organizacin con el fin de lograr sus objetivos mientras
se equilibran los riesgos.
Hardware.- Equipo utilizado para el funcionamiento de una
computadora. El hardware se refiere a los componentes materiales
de un sistema informtico. La funcin de estos componentes suele

dividirse en tres categoras principales: entrada, salida y
almacenamiento.
Impacto.- Es la medicin y valoracin del dao que podra producir
a la empresa un incidente de seguridad. La valoracin global se
obtendr sumando el coste de reposicin de los daos tangibles y la
estimacin, siempre subjetiva, de los daos intangibles.
Incidente de seguridad.- Cualquier evento que tenga, o pueda
tener, como resultado la interrupcin de los servicios suministrados
por un Sistema de Informacin y/o prdidas fsicas, de activos o
financieras. En otras palabras la materializacin de una amenaza.
Internet.- Es una interconexin de redes informticas que permite a
los ordenadores o computadoras conectadas comunicarse
directamente, es decir, cada ordenador de la red puede conectarse
a cualquier otro ordenador de la red. El trmino suele referirse a una
interconexin en particular, de carcter planetario y abierto al
pblico, que conecta redes informticas de organismos oficiales,
educativos y empresariales. Tambin existen sistemas de redes ms
pequeos llamados intranets, generalmente para el uso de una
nica organizacin, que obedecen a la misma filosofa de
interconexin.
Passwords.- Tambin llamados User ID o Claves de Acceso son
secuencias confidenciales de caracteres que permiten que los
usuarios autorizados puedan acceder a un ordenador. Para ser
eficaces, las claves de acceso deben resultar difciles de adivinar.
Recurso de recuperacin.- Recurso necesario para la
recuperacin de las operaciones en caso de desastre.
Red (Informtica).- Conjunto de tcnicas, conexiones fsicas y
programas informticos empleados para conectar dos o ms
computadoras. Los usuarios de una red pueden compartir ficheros,
impresoras y otros recursos, enviar mensajes electrnicos y ejecutar
programas en otros ordenadores.
Redes de comunicacin.- Posibilidad de compartir con carcter
universal la informacin entre grupos de computadoras y sus
usuarios; un componente vital de la era de la informacin.
Riesgo.- Proximidad o posibilidad de un dao, peligro, etc. Cada
uno de los imprevistos, hechos desafortunados, etc., que puede
cubrir un seguro.
Riesgo residual.- Nivel restante de riesgo despus de que se han
tomado medidas de procesamiento.
Software.- Conjunto de programas de computadoras. Son las
instrucciones responsables de que el hardware (la mquina) realice
su tarea. Como concepto general, el software puede dividirse en
varias categoras basadas en el tipo de trabajo realizado. Las dos
categoras primarias de software son los sistemas operativos
(software del sistema), que controlan los trabajos del ordenador o
computadora, y el software de aplicacin, que dirige las distintas
tareas para las que se utilizan las computadoras.
Seguridad.- Cualidad o estado de seguro. Garanta o conjunto de
garantas que se da a alguien sobre el cumplimiento de algo. Se
dice tambin de todos aquellos objetos, dispositivos, medidas, etc.,
que contribuyen a hacer ms seguro el funcionamiento o el uso de
una cosa: cierre de seguridad, cinturn de seguridad.
Seguridad Informtica.- Son tcnicas desarrolladas para proteger
los equipos informticos individuales y conectados en una red frente
a daos accidentales o intencionados.
Seguridad de la informacin.- Preservacin de la confidencialidad,
la integridad y la disponibilidad de la informacin.

Valoracin del riesgo.- Proceso global de anlisis y evaluacin del
riesgo.
Virus (informtica).- Son programas, generalmente destructivos,
que se introducen en el ordenador (al leer un disco o acceder a una
red informtica) y pueden provocar prdida de la informacin
(programas y datos) almacenada en el disco duro. Existen
programas antivirus que los reconocen y son capaces de
inmunizar o eliminar el virus del ordenador. Existen otros
programas informticos nocivos similares a los virus, pero que no
cumplen ambos requisitos de reproducirse y eludir su deteccin.
Estos programas se dividen en tres categoras: caballos de Troya,
bombas lgicas y gusanos.
Vulnerabilidad.- Cualquier debilidad en los Sistemas de
Informacin que pueda permitir a las amenazas causarles daos y
producir prdidas.
CAPTULO 3
1. NORMAS Y/O ESTANDARES INTERNACIONALS
Todo procedimiento informtico debe estar apoyado en estndares y/o
normas referentes a tecnologa de informacin para que brinden la
seguridad que la organizacin necesita.
Por este motivo el presente captulo trata en forma resumida las normas
y/ o estndares internacionales que guarden relacin con la seguridad de
informacin y que servirn de apoyo para la realizacin del caso prctico
que presenta este trabajo de tesis en el siguiente captulo.
3.1 COSO
El denominado informe COSO sobre control interno, publicado en
Estados Unidos en 1992, surgi como una respuesta a las
inquietudes que planteaban la diversidad de conceptos, definiciones
e interpretaciones existentes en torno al control interno.
3.1.1 Definicin y objetivos

La definicin de COSO del control interno hace nfasis en
que el control interno es un proceso, o un medio para llegar a
un fin, y no un fin en s mismo.
El Control Interno es un proceso integrado a los procesos,
efectuado por el consejo de la administracin, la direccin y
el resto del personal de una entidad, diseado con el objeto
de proporcionar una garanta razonable para el logro de
objetivos incluidos en las siguientes categoras:
Eficacia y eficiencia de las operaciones.
Confiabilidad de la informacin financiera.
Cumplimiento de las leyes, reglamentos y polticas.
El proceso se efecta por medio de individuos, no solamente
a partir de manuales de polticas, documentos y formas.
3.1.2 Fundamentos de Control Interno

El Control Interno comprende el plan de organizacin y la
totalidad de los mtodos, sistemas y procedimientos, que en
forma ordenada, se adoptan en una organizacin, para
asegurar la proteccin de todos sus recursos, la obtencin de
informacin correcta, segura y oportuna, la promocin de
economa, eficiencia y efectividad operacional y la adhesin
del personal a los objetivos y polticas debidamente
predefinido por la direccin.
3.1.3 Componentes
El informe COSO consta de cinco componentes
interrelacionados, derivados del estilo de la direccin, e
integrados al proceso de gestin que son:
Ambiente de control
Evaluacin de riesgos
Actividades de control
Informacin y comunicacin
Supervisin y seguimiento del sistema de control
Para un mejor control de las seguridades implementadas en
la organizacin es que se toman en cuentan estos
componentes para el desarrollo del caso prctico que se
presenta en este trabajo.
3.1.3.1 Ambiente de control
Este componente se refiere al establecimiento de un entorno
que estimule e influencie las actividades del personal con
respecto al control de sus actividades.
Los principales factores del ambiente de control son:
La filosofa y estilo de la direccin y la gerencia.
La estructura, el plan organizacional, los reglamentos y
los manuales de procedimiento.

La integridad, los valores ticos, la competencia
profesional y el compromiso de todos los componentes de
la organizacin, as como su adhesin a las polticas y
objetivos establecidos.
Las formas de asignacin de responsabilidades y de
administracin y desarrollo del personal.
El grado de documentacin de polticas y decisiones, y de
formulacin de programas que contengan metas, objetivos
e indicadores de rendimiento.
El ambiente de control reinante ser tan bueno, regular o
malo como lo sean los factores que lo determinan. El mayor o
menor grado de desarrollo y excelencia de stos har, en ese
mismo orden, a la fortaleza o debilidad del ambiente que
generan y consecuentemente al tono de la organizacin.
Manejar un buen ambiente de control es imprescindible para
disminuir los peligros a los que est expuesta la informacin
por la falta de conocimiento de los empleados acerca de
planes, reglamentos y otras polticas existentes en la
organizacin, as como su falta de valores ticos.

Todos estos factores sern tomados en cuenta en el momento
de analizar a los recursos humanos en el desarrollo del caso
prctico
3.1.3.2 Evaluacin de riesgos
El control interno ha sido pensado esencialmente para mitigar
los riesgos que afectan las actividades de las organizaciones
o transferirlos mediante el outsourcing de los servicios
externos de tecnologa de informacin.
La evaluacin de riesgos se refiere a la identificacin y
anlisis de riesgos relevantes para el logro de los objetivos y
la base para determinar la forma en que tales riesgos deben
ser manejados. Asimismo se refiere a los mecanismos
necesarios para identificar y manejar riesgos especficos
asociados con los cambios, tanto los que influyen en el
entorno de la organizacin como en el interior de la misma.
Para llevar acabo este anlisis es indispensable
primeramente el establecimiento de objetivos tanto a nivel

global de la organizacin como al de las actividades
relevantes y una vez identificados, el anlisis de los riesgos
incluir:
Una estimacin de su importancia / trascendencia.
Una evaluacin de la probabilidad / frecuencia.
Una definicin del modo en que habrn de manejarse.
Dado que las condiciones en que las entidades se
desenvuelven suelen sufrir variaciones, se necesitan
mecanismos para detectar y encarar el tratamiento de los
riesgos asociados con el cambio.
Aunque el proceso de evaluacin es similar al de los otros
riesgos, la gestin de los cambios merece efectuarse
independientemente, dada su gran importancia y las
posibilidades de que los mismos pasen inadvertidos para
quienes estn inmersos en las rutinas de los procesos.
Existen circunstancias que pueden merecer una atencin
especial en funcin del impacto potencial que plantean:

Cambios en el entorno.
Redefinicin de la poltica institucional.
Reorganizaciones o reestructuraciones internas.
Ingreso de empleados nuevos, o rotacin de los
existentes.
Nuevos sistemas, procedimientos y tecnologas.
Aceleracin del crecimiento.
Nuevos productos, actividades o funciones.
Los mecanismos para prever, identificar y administrar los
cambios deben estar orientados hacia el futuro, de manera de
anticipar los ms significativos a travs de sistemas de
alarma complementados con planes para un abordaje
adecuado de las variaciones.

Este tipo de anlisis es el que llevaremos a cabo para evaluar
los riesgos que se presentan en la organizacin en la cual se
realiz el trabajo prctico.
3.1.3.3 Actividades de control
Las actividades de control son aquellas que realiza la
gerencia y dems personal de la organizacin para cumplir
diariamente con actividades asignadas.
Estas actividades estn relacionadas (contenidas) con las
polticas, sistemas y procedimientos principalmente. Ejemplo
de estas actividades son aprobacin, autorizacin,
verificacin, conciliacin, inspeccin, revisin de indicadores
de rendimiento, tambin la salvaguarda de los recursos, la
segregacin de funciones, la supervisin y la capacitacin
adecuada.
Las actividades de control tienen distintas caractersticas.
Pueden ser:
Manuales o computarizadas
Gerenciales u operacionales
General o especficas.
Preventivas o detectivas.
Sin embargo, lo trascendente es que sin importar su
categora o tipo, todas ellas estn apuntando hacia los
riesgos (reales o potenciales) en beneficio de la
organizacin, su misin y objetivos, as como a la proteccin
de los recursos.
Para el desarrollo de nuestro trabajo se tomarn en cuenta
que actividades de control son puestas en prctica en la
organizacin donde se lo realiz.
3.1.3.4 Informacin y comunicacin
Consecuentemente la informacin pertinente debe ser
identificada, capturada, procesada y comunicada al personal

dentro del tiempo indicado, de forma tal que le permita
cumplir con sus responsabilidades.
Los sistemas producen reportes conteniendo informacin
operacional, financiera y de cumplimiento que hace posible
conducir y controlar la organizacin.
Todo el personal debe recibir un claro mensaje de la alta
gerencia de sus responsabilidades sobre el control as como
la forma en que las actividades individuales se relacionan con
el trabajo de otros.
Asimismo, debe contarse con medios para comunicar
informacin relevante hacia los mandos superiores, as como
a entidades externas.
A continuacin comento brevemente los elementos que
integran a este componente y que sern tomados en cuenta
para nuestro anlisis y desarrollo del proyecto:
3.1.3.4.1 Informacin
La informacin tanto generada internamente como aquella
que se refiere a eventos acontecidos en el exterior, es
tambin parte esencial de la toma de decisiones as como del
seguimiento de las operaciones.
La informacin cumple distintos propsitos a diferentes
niveles de la organizacin.
Sin la informacin correcta sera imposible tomar decisiones
que ayuden a la organizacin en su mejor desempeo, es po
eso que ser un punto importante para nuestro anlisis.
3.1.3.4.1.1 Sistemas integrados a la estructura
No hay duda que los sistemas estn integrados o
entrelazados con las operaciones.
Sin embargo se observa una tendencia a que stos deben
apoyar de manera contundente la implantacin de
estrategias.
Los sistemas de informacin, como un elemento de control,
estrechamente ligados a los procesos de planeacin
estratgicas son un factor clave de xito en muchas
organizaciones.
Debido a que el sistema de informacin influye sobre la
capacidad de la direccin para tomar decisiones de gestin y
control, la calidad de este resulta de gran trascendencia y se
deben considerar los aspectos de contenido, oportunidad,
actualidad, exactitud y accesibilidad del mismo para tener
resultados correctos como se lo ver en el caso prctico.
3.1.3.4.1.2 Sistemas integrados a las operaciones
En este sentido es evidente cmo los sistemas son medios
efectivos para la realizacin de las actividades de la
empresa.
Desde luego el grado de complejidad vara segn el caso, y
se observa que cada da estn ms integrados con las
estructuras o sistemas de la organizacin.
La informacin vital de la organizacin es manejada en el
sistema, el cual debe ser considerado un punto relevante que
tiene que estar protegido de cualquier amenaza. En nuestra

prctica se definen algunos mtodos de seguridad para
protegerlos.
3.1.3.4.1.3 La calidad de la informacin
La informacin es tan trascendente que constituye un activo,
un medio y hasta una ventaja competitiva en todas las
organizaciones importantes, ya que est asociada a la
capacidad gerencial de las empresas.
La informacin, para actuar como un medio efectivo de
control, requiere de las siguientes caractersticas: relevancia
del contenido, oportunidad, actualizacin, exactitud y
accesibilidad, principalmente. Para lograr esto se debe
invertir en una cantidad importante de recursos.
De la calidad de la informacin depender las decisiones que
se tomen en la organizacin es por eso importante mantener
su integridad como lo veremos reflejado en el caso prctico.
3.1.3.4.2 Comunicacin
Al respecto tambin es claro que deben existir adecuados
canales para que el personal conozca sus responsabilidades
sobre el control de sus actividades.
Estos canales deben comunicar los aspectos relevantes del
sistema de informacin indispensable para los gerentes, as
como los hechos crticos para el personal encargado de
realizar las operaciones crticas. Tambin los canales de
comunicacin entre la gerencia y el consejo de administracin
o los comits son de vital importancia.
En relacin con los canales de comunicacin con el exterior,
stos son el medio a travs del cual se obtiene o proporciona
informacin relativa clientes, proveedores, contratistas, entre
otros.
As mismo son necesarios para proporcionar informacin a
las entidades reguladoras sobre las operaciones de la
empresa e inclusive sobre el funcionamiento de su sistema
de control.
La comunicacin es importante dentro de una organizacin
para facilitar la relacin con los integrantes de la misma con
la finalidad de mantener un control que disminuya los riesgos
por la falta de la misma.
Es as que constituye una parte importante para el desarrollo
de nuestro trabajo.
3.1.3.5 Supervisin y seguimiento del sistema de
control
En general los sistemas de control estn diseados para
operar en determinadas circunstancias, claro est que para
ello se tomaron en consideracin los riesgos y las
limitaciones inherentes al control; sin embargo, las
condiciones evolucionan debido tanto a factores externos
como internos colocando con ello que los controles pierdan
su eficiencia.
Como resultado de todo esto, la gerencia debe llevar a cabo
la revisin y evaluacin sistemtica de los componentes y
elementos que forman parte de los sistemas.

Esto no significa que tengan que revisarse todos los
componentes y elementos, como tampoco que deba hacerse
al mismo tiempo.
Esto depender de las condiciones especficas de cada
organizacin, de los distintos niveles de riesgos existentes y
del grado de efectividad mostrado por los distintos
componentes y elementos de control.
La evaluacin debe conducir a la identificacin de los
controles dbiles, insuficientes o necesarios, para promover
con el apoyo decidido de la gerencia, su reforzamiento e
implantacin.
Esta evaluacin puede llevarse a cabo de tres formas:
durante la realizacin de las actividades de supervisin diaria
en distintos niveles de la organizacin; de manera
independiente por personal que no es responsable directo de
la ejecucin de las actividades (incluidas las de control) o
mediante la combinacin de las dos formas anteriores.
Se puede concluir que es fundamental realizar evaluaciones
de los controles que se llevan acabo en la organizacin para

verificar que estos estn cumpliendo su objetivo que es el de
disminuir los riesgos a los que se expone la informacin de la
organizacin.
Esta misma evaluacin es la que realizaremos en nuestro
trabajo con el objetivo de medir la funcionalidad de los
controles de seguridad que en la empresa se hayan
implantado.
3.2 COBIT (Objetivos de Control para Tecnologa de Informacin y
Tecnologas relacionadas)
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que
ha cambiado la forma en que trabajan los profesionales de TI.
Vinculando tecnologa informtica y prcticas de control, COBIT
consolida y armoniza estndares de fuentes globales prominentes
en un recurso crtico para la gerencia, los profesionales de control y
los auditores.
COBIT se aplica a los sistemas de informacin de toda la empresa,
incluyendo las computadoras personales, mini computadoras y
ambientes distribuidos.
COBIT est basado en la filosofa de que los recursos de TI
necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la informacin pertinente y
confiable que requiere una organizacin para lograr sus objetivos.
3.2.1 Misin
COBIT investiga, desarrolla, publica y promueve un conjunto
internacional y actualizado de objetivos de control para
tecnologa de informacin que sea de uso cotidiano para
gerentes y auditores.
3.2.2 Usuarios
Los usuarios de cobit son aquellos quienes desean mejorar y
garantizar la seguridad de sus sistemas bajo un estricto
mtodo control de tecnologa de informacin como lo es
COBIT:
La gerencia: para apoyar sus decisiones de inversin en
TI y control sobre el rendimiento de las mismas, analizar
el costo beneficio del control.
Los usuarios finales: quienes obtienen una garanta sobre
la seguridad y el control de los productos que adquieren
interna y externamente.
Los auditores: para soportar sus opiniones sobre los
controles de los proyectos de TI, su impacto en la
organizacin y determinar el control mnimo requerido.
Los responsables de TI: para identificar los controles que
requieren en sus reas.
Tambin puede ser utilizado dentro de las empresas por el
responsable de un proceso de negocio en su responsabilidad
de controlar los aspectos de informacin del proceso, y por
todos aquellos con responsabilidades en el campo de la TI en
las empresas.
3.2.3 Caractersticas de COBIT
Orientado al negocio.
Alineado con estndares y regulaciones de facto.
Basado en una revisin crtica y analtica de las tareas y
actividades en TI.
Alineado con estndares de control y auditoria (COSO,
IFAC, IIA, ISACA, AICPA).
3.2.4 Principios de COBIT
El concepto fundamental del marco referencial COBIT se
refiere a que el enfoque del control en TI (Tecnologa de
informacin) se lleva a cabo visualizando la informacin
necesaria para dar soporte a los procesos de negocio y
considerando a la informacin como el resultado de la
aplicacin combinada de recursos relacionados con la
tecnologa de informacin que deben ser administrados por
procesos de TI.
As como podemos observarlo en esta figura 3.1 que nos
presenta los principios de COBIT.
Requerimientos
de Informacin del
Negocio
Procesos de TI
Recursos de TI
FIGURA 3.1 Principios de COBIT
3.2.4.1 Requerimientos de la informacin del negocio
Para alcanzar los requerimientos de negocio, la informacin
necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Se refiere a la efectividad,
eficiencia, confiabilidad y cumplimiento.
- Efectividad: La informacin debe ser relevante y
pertinente para los procesos del negocio y debe ser

proporcionada en forma oportuna, correcta,
consistente y utilizable.
- Eficiencia: Se debe proveer informacin mediante el
empleo ptimo de los recursos (la forma ms
productiva y econmica).
- Confiabilidad: proveer la informacin apropiada para
que la administracin tome las decisiones adecuadas
para manejar la empresa y cumplir con sus
responsabilidades.
- Cumplimiento: de las leyes, regulaciones y
compromisos contractuales con los cuales est
comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad,
Integridad y Disponibilidad.
- Confidencialidad: Proteccin de la informacin
sensible contra divulgacin no autorizada

- Integridad: Refiere a lo exacto y completo de la
informacin as como a su validez de acuerdo con las
expectativas de la empresa.
- Disponibilidad: accesibilidad a la informacin cuando
sea requerida por los procesos del negocio y la
salvaguarda de los recursos y capacidades asociadas
a la misma.
3.2.4.2 Recursos de TI
En COBIT se establecen los siguientes recursos en TI
necesarios para alcanzar los objetivos de negocio:
Datos: Todos los objetos de informacin. Considera
informacin interna y externa, estructurada o no, grficas,
sonidos, etc.
Aplicaciones: entendido como los sistemas de
informacin, que integran procedimientos manuales y
sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas
operativos, sistemas de administracin de bases de datos,
de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar
y dar soporte a los sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y
productividad del personal para planear, adquirir, prestar
servicios, dar soporte y monitorear los sistemas de
Informacin.
3.2.4.3 Procesos de TI
La estructura de COBIT se define a partir de una premisa
simple y pragmtica:
Los recursos de las Tecnologas de la Informacin (TI) se
han de gestionar mediante un conjunto de procesos
agrupados de forma natural para que proporcionen la
informacin que la empresa necesita para alcanzar sus
objetivos. COBIT se divide en tres niveles como la figura 3.
2 nos presenta:
FIGURA 3.2 Niveles de COBIT
Dominios: Agrupacin natural de procesos,
normalmente corresponden a un dominio o una
responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con
delimitacin o cortes de control.
Actividades: Acciones requeridas para lograr un
resultado medible.
Se definen 34 objetivos de controles generales, uno para
cada uno de los procesos de las TI. Estos procesos estn
agrupados en cuatro grandes dominios que son:
Planeacin y Organizacin
Adquisicin e Implementacin
Prestacin y Soporte
Monitoreo
De estos slo tomaremos en consideracin los procesos que
guarden relacin con el tema de seguridad de informacin
que es el objetivo de anlisis de nuestro trabajo, los cuales
son:
Planeacin y organizacin
- Definicin de un plan estratgico.
- Evaluacin de riesgos.
Adquisicin e implementacin.
- Adquisicin y mantenimiento de la infraestructura
tecnolgica.
- Desarrollo y mantenimiento de procedimientos.
Entrega de servicios y soporte.
- Administracin de servicios prestados por terceros.
- Garantizar la seguridad de sistemas.
- Educacin y entrenamiento de usuarios.
- Apoyo y asistencia a los clientes de TI.
- Administracin de problemas e incidentes.
- Administracin de las instalaciones.

3.2.4.3.1 Planeacin y organizacin
Se refiere a la identificacin de la forma en que la tecnologa
de informacin puede contribuir de la mejor manera al logro
de los objetivos de negocio.
Los siguientes procesos que integran este dominio de COBIT
sern considerados en el anlisis de nuestro trabajo prctico.
3.2.4.3.1.1 Definicin de un plan estratgico
Con este plan se desea lograr un balance ptimo entre las
oportunidades de tecnologa de informacin y los
requerimientos de TI de negocio, para asegurar sus logros
futuros.
Su realizacin se concreta a travs un proceso de planeacin
estratgica emprendido en intervalos regulares dando lugar a
planes a largo plazo, los que debern ser traducidos
peridicamente en planes operacionales estableciendo metas
claras y concretas a corto plazo, teniendo en cuenta:

La definicin de objetivos de negocio y necesidades de
TI, la alta gerencia ser la responsable de desarrollar e
implementar planes a largo y corto plazo que satisfagan
la misin y las metas generales de la organizacin.
El inventario de soluciones tecnolgicas e
infraestructura actual, se deber evaluar los sistemas
existentes en trminos de: nivel de automatizacin de
negocio, funcionalidad, estabilidad, complejidad, costo y
fortalezas y debilidades, con el propsito de determinar
el nivel de soporte que reciben los requerimientos del
negocio de los sistemas existentes.
Los cambios organizacionales, se deber asegurar que
se establezca un proceso para modificar oportunamente
y con precisin el plan a largo plazo de tecnologa de
informacin con el fin de adaptar los cambios al plan a
largo plazo de la organizacin y los cambios en las
condiciones de la TI.
Estudios de factibilidad oportunos, para que se puedan
obtener resultados efectivos.

3.2.4.3.1.2 Evaluacin de riesgos
Es necesaria para asegurar el logro de los objetivos de TI y
responder a las amenazas hacia la provisin de servicios de
TI.
Para llevarla acabo se logra la participacin de la propia
organizacin en la identificacin de riesgos de TI y en el
anlisis de impacto, tomando medidas seguridad para mitigar
los riesgos y para realizarlo se toma en consideracin:
Identificacin, definicin y actualizacin regular de los
diferentes tipos de riesgos de TI. Estos riesgos pueden
ser tecnolgicos, de seguridad, entre otros y una vez
identificados se puede determinar la manera en la que
estos deben ser manejados a un nivel aceptable.
Definicin de alcances, limites de los riesgos y la
metodologa para las evaluaciones de los riesgos.
Actualizacin de evaluacin de riesgos

Metodologa de evaluacin de riesgos
Medicin de riesgos cualitativos y/o cuantitativos
Definicin de un plan de accin contra los riesgos. Esto
servir para asegurar que existan controles y medidas
de seguridad econmicas que mitiguen los riesgos en
forma continua.
Aceptacin de riesgos. Depender de la identificacin y
la medicin del riesgo, de la poltica organizacional, de
la incertidumbre incorporada al enfoque de evaluacin
de riesgos y de que tan econmico resulte implementar
protecciones y controles.
3.2.4.3.2 Adquisicin e implementacin
Para llevar a cabo la estrategia de TI, las soluciones de TI
deben ser identificadas, desarrolladas o adquiridas, as como
implementadas e integradas dentro del proceso del negocio.

Adems, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes. Para el anlisis del trabajo
que se desarrollar en el prximo captulo se a considerado
los procedimientos que se detallan a continuacin.
3.2.4.3.2.1 Adquisicin y mantenimiento de la
infraestructura tecnolgica
El objetivo principal de este proceso es el de proporcionar a
la empresa plataformas apropiadas para soportar las
aplicaciones que en el negocio se manejen.
Para el desarrollo de nuestro proyecto se evaluar el
mantenimiento hardware y la seguridad, tomando en
consideracin:
Mantenimiento preventivo del hardware. Cuyo objetivo
ser el de reducir la frecuencia y el impacto de fallas de
rendimiento.
Seguridad del software de sistema, instalacin y
mantenimiento. Ser evaluado con la finalidad de no

arriesgar la seguridad de los datos y programas ya
almacenados en el mismo.
3.2.4.3.2.2 Desarrollo y mantenimiento de
procedimientos
Asegurar el uso apropiado de las aplicaciones y de las
soluciones tecnolgicas establecidas es el objetivo de toda
organizacin, y una forma de mantener su seguridad.
Para esto se realiza un enfoque estructurado del desarrollo
de manuales de procedimientos de operaciones para
usuarios, requerimientos de servicio y material de
entrenamiento y toma en consideracin:
Manuales de procedimientos de usuarios y controles.
Para el mejor desempeo y control de los usuarios estos
deben estar actualizados.
Manuales de Operaciones y controles. Deben estar
permanentemente actualizados.
Materiales de entrenamiento. Estos deben ser
enfocados al uso del sistema en la prctica diaria.
Para fines del anlisis y desarrollo del caso prctico se
realizar la constatacin de estos manuales como medida de
seguridad.
3.2.4.3.3 Entrega de servicios y soporte
Este dominio hace referencia a la entrega de los servicios
requeridos, que abarcan desde las operaciones tradicionales
hasta el entrenamiento, pasando por seguridad y aspectos de
continuidad.
Con el fin de proveer servicios, se deben establecer los
procesos de soporte necesarios y los adecuados controles de
las aplicaciones para asegurar el procesamiento de los datos,
se ha seleccionado ciertos procesos de este dominio de
COBIT que guardan relacin con nuestro trabajo prctico y
que podrn ayudarnos para su estudio y su elaboracin.

3.2.4.3.4 Administracin de servicios prestados por
terceros
Es necesario asegurar que las tareas y responsabilidades de
las terceras partes estn claramente definidas, que cumplan y
continen satisfaciendo los requerimientos de la
organizacin.
Por este motivo se establecen medidas de control dirigidas a
la revisin y monitoreo de contratos y procedimientos
existentes, en cuanto a su efectividad y suficiencia, con
respecto a las polticas de la organizacin se toma en
consideracin:
Acuerdos de servicios con terceras partes. Estos
acuerdos se llevan a cabo a travs de contratos entre la
organizacin y el proveedor de la administracin de
instalaciones este basado en niveles de procesamiento
requeridos, seguridad, monitoreo y requerimientos de
contingencia, as como en otras estipulaciones segn
sea apropiado.
Acuerdos de confidencialidad. Debern estar
estipulados y acordados en los contratos que se realicen
para cada servicio prestado por un tercero.
Requerimientos legales regulatorios. Se definen con el
objetivo de asegurar que estos concuerde con los
acuerdos de seguridad identificados, declarados y
acordados.
Monitoreo. Con el fin de asegurar el cumplimiento de los
contratos se lleva un registro de la entrega de servicio.
Otro punto que se tomar en cuenta al momento de realizar el
caso prctico es este proceso, ya que se deben tener
medidas de seguridad con los servicios de outsourcing.
3.2.4.3.4.1 Garantizar la seguridad de sistemas
Para salvaguardar la informacin contra uso no autorizados,
divulgacin, modificacin, dao o prdida, se deben realizar
controles de acceso lgico que aseguren que el acceso a

sistemas, datos y programas est restringido a usuarios
autorizados para su seguridad se toma en consideracin:
Perfiles e identificacin de usuarios. Se realiza
estableciendo procedimientos para asegurar acciones
oportunas relacionadas con la requisicin,
establecimiento, emisin y suspensin de cuentas de
usuario.
Prevencin y deteccin de virus. Los virus son
controlados estableciendo adecuadas medidas de
control preventivas, detectivas y correctivas.
Utilizacin de Firewalls. Son necesarios si existe una
conexin con Internet u otras redes pblicas en la
organizacin.
Este proceso ser considerado para la realizacin de nuestro
proyecto. Por el motivo de ser medidas de proteccin a los
sistemas informticos.
3.2.4.3.4.2 Educacin y entrenamiento de usuarios
Tiene como fin asegurar que los usuarios estn haciendo un
uso efectivo de la tecnologa y estn conscientes de los
riesgos y responsabilidades que tienen.
Para mantener la seguridad en las actividades de los
usuarios se emplean tcnicas de concientizacin que se
ejecutan proporcionando un programa de educacin y
entrenamiento que incluya conducta tica de la funcin de
servicios de informacin.
Es importante que una organizacin se asegure que los
integrantes de ella manejen los sistemas de informacin
correctamente de tal manera que disminuyan los riesgos que
de ellos puedan surgir.
Emplearemos este proceso para el desarrollo de nuestro
trabajo.
3.2.4.3.4.3 Apoyo y asistencia a los clientes de TI
Este dominio tiene como objetivo es asegurar que cualquier
problema experimentado por los usuarios sea atendido
apropiadamente y para su realizacin se proporciona soporte
y asesora de primera lnea considerando:
Consultas de usuarios y respuesta a problemas. Se
efecta estableciendo un soporte de ayuda para
cualquier problema.
Monitoreo de consultas y despacho. Es el registro de
todas las consultas, procedimientos de solucin y fecha
en que se soluciono el problema.
Llevar un adecuado control de las fallas que presenta el
sistema o los equipos y las soluciones que se les dan a las
mismas es fundamental considerar para nuestro trabajo.

3.2.4.3.4.4 Administracin de problemas e incidentes
Es primordial asegurar que los problemas e incidentes sean
resueltos y que sus causas sean investigadas para prevenir
que vuelvan a suceder.
Una solucin eficiente es implementar un sistema de manejo
de problemas, que se lo efecta con el propsito de que se
registre y d seguimiento a todos los incidentes.
Este sistema de administracin de problemas deber tambin
realizar un seguimiento de las causas a partir de un incidente
dado.
Los problemas deben ser resueltos y llevar un control de la
solucin que se le a dado es la mejor manera de evitar que
se vuelva a presentar ya que se podran corregir las fallas
que lo originaron con este fundamento es que se trabajar el
caso prctico.
3.2.4.3.4.5 Administracin de las instalaciones

Es objetivo de toda organizacin proporcionar un ambiente
fsico conveniente que proteja al equipo y al personal de TI
contra peligros naturales (fuego, polvo, calor excesivos) o
fallas humanas lo cual se hace posible con la instalacin de
controles fsicos y ambientales adecuados que sean
revisados regularmente para su funcionamiento apropiado
definiendo procedimientos que provean control de acceso del
personal a las instalaciones y contemplen su seguridad fsica.
Mantener la seguridad fsica en la organizacin es un punto
que contiene nuestro trabajo y es as que este proceso
formar parte de su desarrollo.
3.3 Norma ISO 17799
ISO 17799 es una norma internacional que ofrece recomendaciones
para realizar la gestin de la seguridad de la informacin dirigida a
los responsables de iniciar, implantar o mantener la seguridad de
una organizacin.
ISO 17799 define la informacin como un activo que posee valor
para la organizacin y requiere por tanto de una proteccin
adecuada.
El objetivo de la seguridad de la informacin es proteger
adecuadamente este activo para asegurar la continuidad del
negocio, minimizar los daos a la organizacin y maximizar el
retorno de las inversiones y las oportunidades de negocio.
La seguridad de la informacin se define como la preservacin de:
Confidencialidad. Aseguramiento de que la informacin es
accesible slo para aquellos autorizados a tener acceso.
Integridad. Garanta de la exactitud y completitud de la
informacin y de los mtodos de su procesamiento.
Disponibilidad. Aseguramiento de que los usuarios autorizados
tienen acceso cuando lo requieran a la informacin y sus activos
asociados.
El objetivo de la norma ISO 17799 es proporcionar una base comn
para desarrollar normas de seguridad dentro de las organizaciones
y ser una prctica eficaz de la gestin de la seguridad.
La norma ISO 17799 establece diez dominios de control que cubren
por completo la gestin de la seguridad de la informacin:
1. Poltica de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificacin y control de activos.
4. Seguridad ligada al personal.
5. Seguridad fsica y del entorno.
6. Gestin de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestin de continuidad del negocio.

10. Conformidad con la legislacin.
De estos diez dominios se derivan 36 objetivos de control
(resultados que se esperan alcanzar mediante la implementacin de
controles) y 127 controles (prcticas, procedimientos o mecanismos
que reducen el nivel de riesgo).
3.3.1 Poltica de seguridad
Objetivo.-
Dirigir y dar soporte a la gestin de la seguridad de la
informacin.
La alta direccin debe definir una poltica que refleje las
lneas directrices de la organizacin en materia de seguridad,
aprobarla y publicitarla de la forma adecuada a todo el
personal implicado en la seguridad de la informacin.

La poltica se constituye en la base de todo el sistema de
seguridad de la informacin. Y la alta direccin debe apoyar
visiblemente la seguridad de la informacin en la compaa.
3.3.2 Aspectos organizativos para la seguridad
Objetivo.-
1. Gestionar la seguridad de la informacin dentro de la
organizacin.
2. Mantener la seguridad de los recursos de tratamiento de
la informacin y de los activos de informacin de la
organizacin que son accedidos por terceros.
3. Mantener la seguridad de la informacin cuando la
responsabilidad de su tratamiento se ha externalizado a
otra organizacin.
Debe disearse una estructura organizativa dentro de la
compaa que defina las responsabilidades que en materia
de seguridad tiene cada usuario o rea de trabajo

relacionada con los sistemas de informacin de cualquier
forma.
Dicha estructura debe poseer un enfoque multidisciplinar: los
problemas de seguridad no son exclusivamente tcnicos.
3.3.3 Clasificacin y control de activos
Objetivo.-
1. Mantener una proteccin adecuada sobre los activos de la
organizacin.
2. Asegurar un nivel de proteccin adecuado a los activos de
informacin.
Debe definirse una clasificacin de los activos relacionados
con los sistemas de informacin, manteniendo un inventario
actualizado que registre estos datos, y proporcionando a
cada activo el nivel de proteccin adecuado a su criticidad en
la organizacin.
3.3.4 Seguridad ligada al personal
Objetivo.-
1. Reducir los riesgos de errores humanos, robos o mal uso
de las instalaciones y los servicios.
2. Asegurar que los usuarios son conscientes de las
amenazas y riesgos en el mbito de la seguridad de la
informacin, y que estn preparados para sostener la
poltica de seguridad.
3. Minimizar los daos provocados por incidencias de
seguridad y por el mal funcionamiento, controlndolos y
aprendiendo de ellos.
4. Las implicaciones del factor humano en la seguridad de la
informacin son muy elevadas.
5. Todo el personal, tanto interno como externo a la
organizacin, debe conocer tanto las lneas generales de
la poltica de seguridad corporativa como las

implicaciones de su trabajo en el mantenimiento de la
seguridad global.
6. Diferentes relaciones con los sistemas de informacin:
operador, administrador, guardia de seguridad, personal
de servicios, etc.
7. Procesos de notificacin de incidencias claros, giles y
conocidos por todos.
3.3.5 Seguridad fsica y del entorno
Objetivo.-
1. Evitar accesos no autorizados, daos e interferencias
contra los locales y la informacin de la organizacin.
2. Evitar prdidas, daos de los activos as como la
interrupcin de las actividades de la organizacin.
3. Prevenir las exposiciones a riesgo o robos de informacin
y de recursos de tratamiento de informacin.

Las reas de trabajo de la organizacin y sus activos deben
ser clasificadas y protegidas en funcin de su criticidad,
siempre de una forma adecuada y frente a cualquier riesgo
factible de ndole fsica (robo, inundacin, incendio...).
3.3.6 Gestin de comunicaciones y de operaciones
Objetivo.-
1. Asegurar la operacin correcta y segura de los recursos
de tratamiento de informacin.
2. Minimizar el riesgo de fallos en los sistemas.
3. Proteger la integridad del software y de la informacin.
4. Mantener la integridad y la disponibilidad de los servicios
de tratamiento de informacin y comunicacin.
5. Asegurar la salvaguarda de la informacin en las redes y
la proteccin de su infraestructura de apoyo.

6. Evitar daos a los activos e interrupciones de actividades
de la organizacin.
7. Prevenir la prdida, modificacin o mal uso de la
informacin intercambiada entre organizaciones.
Se debe garantizar la seguridad de las comunicaciones y de
la operacin de los sistemas de informacin la empresa con
el fin de que la informacin este disponible y sea confiable
para la organizacin..
3.3.7 Control de accesos
Objetivo.-
1. Controlar los accesos a la informacin.
2. Evitar accesos no autorizados a los sistemas.

3. Evitar el acceso de usuarios no autorizados.
4. Proteccin de los servicios en red.
5. Evitar accesos no autorizados a ordenadores.
6. Evitar el acceso no autorizado a la informacin contenida
en los sistemas.
7. Detectar actividades no autorizadas.
Establecindose controles de acceso adecuados se puede
proteger los sistemas ms crticos de la organizacin.
3.3.8 Desarrollo y mantenimiento de sistemas
Objetivo.-
1. Asegurar que la seguridad est incluida dentro de los
sistemas de informacin.
2. Evitar prdidas, modificaciones o mal uso de los datos de
usuario en las aplicaciones.

3. Proteger la confidencialidad, autenticidad e integridad de
la informacin.
4. Asegurar que los proyectos de TI y las actividades
complementarias son llevadas a cabo de una forma
segura.
5. Mantener la seguridad del software y la informacin de la
aplicacin del sistema.
Debe contemplarse la seguridad de la informacin en el
proceso de desarrollo o mejoramiento de un sistema.
3.3.9 Gestin de continuidad del negocio
Objetivo.-
1. Reaccionar a la interrupcin de actividades del negocio y
proteger sus procesos crticos frente grandes fallos o
desastres.
Todas las situaciones que puedan provocar la interrupcin de
las actividades del negocio deben ser prevenidas y

contrarrestadas mediante los planes de contingencia
adecuados.
Los planes de contingencia deben ser probados y revisados
peridicamente.
Se deben definir equipos de recuperacin ante contingencias,
en los que se identifiquen claramente las funciones y
responsabilidades de cada miembro en caso de desastre y
poder continuar con las operaciones de la empresa a pesar
de las dificultades presentadas.
3.3.10 Conformidad con la legislacin
Objetivo.-
1. Evitar el incumplimiento de cualquier ley, estatuto,
regulacin u obligacin contractual y de cualquier
requerimiento de seguridad.
2. Garantizar la alineacin de los sistemas con la poltica de
seguridad de la organizacin y con la normativa derivada
de la misma.
3. Maximizar la efectividad y minimizar la interferencia de o
desde el proceso de auditora de sistemas.
Se debe identificar convenientemente la legislacin aplicable
a los sistemas de informacin corporativos (Ley de comercio
electrnico), integrndola en el sistema de seguridad de la
informacin de la compaa y garantizando su cumplimiento.
Se debe definir un plan de auditora interna y ser ejecutado
convenientemente, para garantizar la deteccin de
desviaciones con respecto a la poltica de seguridad de la
informacin.
3.4 Norma ISO 27001
El estndar ISO/IEC 27001 es un nuevo estndar oficial, publicada
la primera versin el 15 de octubre de 2005, su ttulo completo en
realidad es BS 7799-2:2005 (ISO/IEC 27001:2005), ya que es una
versin actual del ISO-17799.

Actualmente es el nico estndar aceptado internacionalmente para
la administracin de la seguridad de la informacin y aplica a todo
tipo de organizaciones, tanto por su tamao como por su actividad.
Esta norma propone orientar los aspectos netamente organizativos.
Su propsito es Organizar la seguridad de la informacin, por ello
propone toda una secuencia de acciones destinados al
establecimiento, implementacin, operacin, monitorizacin,
revisin, mantenimiento y mejora del ISMS (Information Security
Management System/Direccin de la seguridad de sistemas de
informacin).
Los detalles que conforman el cuerpo de esta norma, se podran
agrupar en:
ISMS (Information Security Management System/Administracin
de la seguridad de los sistemas de informacin).
Responsabilidades de la Administracin.
Auditora Interna del ISMS.

Administracin de las revisiones del ISMS.
Mejoras del ISMS.
Estos puntos estarn presentes durante la elaboracin y estudio de
nuestro trabajo prctico.
3.4.1 ISMS (Information Security Management
System/Direccin de la seguridad de los sistemas de
informacin)
Indica que la organizacin, establecer, implementar,
operar, monitorizar, revisar, mantendr y mejorar un
documentado ISMS en el contexto de su propia organizacin
para las actividades globales de su negocio y de cara a los
riesgos y todos los documentos requeridos por el ISMS sern
protegidos y controlados. Un procedimiento documentado
deber establecer las acciones de administracin necesarias
para:
1. Aprobar documentos y prioridades o clasificacin de
empleo del documento.

2. Revisiones, actualizaciones y re-aprobaciones de
documentos.
3. Asegurar que los cambios y las revisiones de documentos
sean identificados.
4. Asegurar que las ltimas versiones de los documentos
aplicables estn disponibles y listas para ser usadas.
5. Asegurar que los documentos permanezcan legibles y
fcilmente identificables.
6. Asegurar que los documentos estn disponibles para
quien los necesite y sean transferidos, guardados y
finalmente dispuestos acorde a los procedimientos
aplicables a su clasificacin.
7. Asegurar que los documentos de origen externo sean
identificados.
8. Asegurar el control de la distribucin de documentos.

9. Prevenir el empleo no deseado de documentos obsoletos
y aplicar una clara identificacin para poder acceder a
ellos y que queden almacenados para cualquier propsito.
3.4.2 Responsabilidades de la administracin
Esta norma establece que la administracin proveer
evidencias de sus compromisos para el establecimiento,
implementacin, operacin, monitorizacin, mantenimiento y
mejora del ISMS a travs de:
1. Establecimiento de la poltica del ISMS.
2. Asegurar el establecimiento de los objetivos y planes del
ISMS.
3. Establecer roles y responsabilidades para la seguridad de
la informacin.
4. Comunicar y concienciar a la organizacin sobre la
importancia y apoyo necesario a los objetivos propuestos

por la poltica de seguridad, sus responsabilidades legales
y la necesidad de una continua mejora en este aspecto.
5. Proveer suficientes recursos para establecer, operar,
implementar, monitorizar, revisar, mantener y mejorar el
ISMS.
6. Decidir los criterios de aceptacin de riesgos y los niveles
del mismo.
7. Asegurar que las auditorias internas del ISMS, sean
conducidas y a su vez conduzcan a la administracin para
la revisin del ISMS.
La organizacin asegurar que todo el personal a quien sean
asignadas responsabilidades definidas en el ISMS sea
competente y est en capacidad de ejecutar las tareas
requeridas, para ello deber proveer las herramientas y
capacitacin necesaria (Documento: Planificacin, guas y
programas de formacin y preparacin).

3.4.3 Auditoria interna del ISMS
La organizacin realizar auditorias internas al ISMS a
intervalos planeados para determinar si los controles, sus
objetivos, los procesos y procedimientos continan de
conformidad a esta norma y para analizar y planificar
acciones de mejora. Ninguna persona podr auditar su propio
trabajo, ni cualquier otro que guarde relacin con l.
La responsabilidad y requerimientos para el planeamiento y
la conduccin de las actividades de auditoria, los informes
resultantes y el mantenimiento de los registros sern
definidos en un procedimiento.
3.4.4 Administracin de las revisiones del ISMS
Las revisiones mencionadas en el punto anterior debern
llevarse a cabo al menos una vez al ao para asegurar su
vigencia, adecuacin y efectividad. Estas revisiones incluirn
valoracin de oportunidades para mejorar o cambiar el ISMS

incluyendo la poltica de seguridad de la informacin y sus
objetivos. Los resultados de estas revisiones, como se
mencion en el punto anterior sern claramente
documentados y los mismos darn origen a esta actividad.
3.4.5 Mejora del ISMS
La organizacin deber mejorar continuamente la eficiencia
del ISMS a travs del empleo de la poltica de seguridad de la
informacin, sus objetivos, el resultado de las auditorias, el
anlisis y monitorizacin de eventos, las acciones preventivas
y correctivas y las revisiones de administracin.

CAPTULO 4
4. CASO PRCTICO
En el presente captulo se llevar a cabo la elaboracin del plan de
seguridad informtica realizado a raz de los resultados que de la
evaluacin de riesgos llevada a cabo en la empresa la cual por tica
profesional nos reservaremos su nombre, el de los integrantes del rea
de sistemas y recursos humanos; usaremos el nombre ficticio de
AGROPEC S.A. para identificarla y datos ficticios para sus integrantes.
4.1 Descripcin de la empresa
AGROPEC S.A., cuenta con una casa matriz y una sucursal en la
ciudad de Guayaquil y otra oficina en Quito.
Fue fundada el 26 de enero de 1966. Su objetivo es proveer
productos y servicios de calidad en forma gil y oportuna que
contribuyan a aumentar la productividad de la industria y del sector
agrcola ecuatoriano.
AGROPEC S.A. se encuentra estructurada operativamente por dos
divisiones que son: "Agroqumicos y Lubricantes" e "Industrial
Agrcola y Marina" cada una es administrada independientemente
tanto, fsica como administrativa y financiera.
Para el desarrollo de sus operaciones Agropec S.A. cuenta con 163
empleados, distribuidos en la siguiente forma:
Divisin Agroqumicos y Lubricantes: 68 empleados
Divisin Agrcola y Marina: 95 empleados
AGROPEC S.A. es una de las principales empresas importadoras
para el Ecuador en sus lneas de negocios, el factor esencial de su
crecimiento son los productos que distribuye como bienes de capital
para la industria tales como equipos de generacin elctrica,
motores industriales y marinos, bombas de agua, tractores, filtros,
bateras, repuestos e insumos agrcolas todos de ms alta calidad y
bajo la representacin de corporaciones de prestigio mundial como:
Detroit Diesel Corporation, A. C. Delco, G. M. Kohler Co., Dow
Agrosciences, F. M. C., BASF, etc., cuya credibilidad y calidad de los
productos garantiza el xito de Agropec S.A..

Su estrategia de negocio est basada en el monitoreo y control del
producto desde la entrega al cliente hasta su uso en el campo y la
industria.
4.2 Motivos para disear un plan estratgico de seguridad de
informacin
Entre los principales justificativos o motivos para desarrollar este
plan estratgico de seguridad informtica encontramos los
siguientes:
Inters de los Gerencia en conocer la situacin informtica de la
empresa determinando las vulnerabilidades existentes en lo
relativo a controles de seguridad.
Preocupacin de los Gerencia en proteger sus sistemas frente a
intrusos y visitantes no deseados que puedan atentar contra sus
actividades.
Deseo de los Gerencia de establecer un esquema de seguridad
y control en informtica.
Inters de los Gerencia en asegurar que se cubra y proteja los
recursos con mayores riesgos y exposiciones existentes en el
medio informtico del negocio.
Voluntad de los Gerencia de fortalecer la compaa a nivel de
seguridad para lograr el avance y optimizar sus recursos.
Inters de los Gerencia de asegurar el uso eficiente de los
recursos informticos, orientndolos al logro de los objetivos y
las estrategias de la organizacin.
Preocupacin de los Gerencia en disminuir el tiempo de
produccin perdido y consumo de recursos en horas de
recuperacin de la actividad normal de la empresa para
garantizar la continuidad de los servicios frente algn
contingente.
4.3 Objetivos
Los objetivos que se plantean para este plan de seguridad de
informacin son:
4.3.1 Objetivo general

Disear un plan estratgico de seguridad de informacin
para una empresa comercial.
4.3.2 Objetivos especficos
Disear un modelo de seguridad orientado al cumplimiento
de normas, procedimientos y estndares informticos con
el objetivo de crear una cultura de seguridad en la
organizacin.
Mejorar las seguridades existentes requeridas para la
salvaguarda de la integridad de la informacin procesada
en cuanto a totalidad y exactitud.
4.4 Alcance
El diseo de polticas de seguridad informtica planteadas a partir
de los resultados del anlisis de riesgo cuyos factores de riesgo son
el resultado de las evaluaciones a las seguridades fsicas, lgicas,
redes, recursos humanos y outsourcing de la entidad y

fundamentadas en las normas y/o estndares de seguridad
informtica mencionadas en el captulo 3.
Estas polticas sern puestas en prctica por la empresa mediante
la ejecucin del diseo del plan estratgico de seguridad que ser
desarrollado para ser aplicado de forma anual.
El diseo de este plan estratgico trata de cubrir los objetivos que la
empresa est en capacidad de llevar a cabo para disminuir los
riesgos a los que est expuesta.
Este plan de seguridad servir como una gua aplicable a cualquier
otra empresa y podr ser implementado en toda la organizacin
pero deber ser dirigido por el Jefe de Seguridad y a falta de este el
Jefe de Sistemas; el cual se har responsable de que dichas
polticas de seguridad sean cumplidas a cabalidad por todos los
integrantes de la compaa.
4.5 Equipo de Trabajo

Este trabajo ser realizado por dos personas, quin est redactando
Mara Gabriela Hernndez Pinto dirigida por su Directora de Tesis
la Ing. Alice Naranjo.
4.6 Descripcin del entorno informtico
La empresa cuenta con un rea destinada para el funcionamiento
del departamento de sistemas que est integrado actualmente por el
jefe y asistente de sistemas; los cuales tienen las siguientes
funciones dentro del rea.
Jefe de sistemas:
Administrar los recursos del rea.
Control y mantenimiento de la red y programas que dan servicio
a la empresa.
Gestin de las adquisiciones de equipos.
Control del mantenimiento a los equipos.
Implementacin de nuevas aplicaciones para mejorar el sistema.

Elaboracin de un plan tecnolgico.
Asistente de sistemas:
Dar soporte tcnico a los usuarios.
Realizar los inventarios de los equipos en conjunto con personal
de contabilidad.
Chequear las conexiones de datos con las oficinas regionales.
Realizar correcciones de datos por errores de usuarios.
Ciertas tareas de programacin.
La funcin del departamento de sistemas es la de estructurar sus
servicios y proyectos con base en los requerimientos especficos del
negocio, apoyndose en la tecnologa de vanguardia disponible y
que est a su alcance pero se debe acotar que el rea de sistemas
no cuenta con asesoramiento en materia de seguridad informtica,

no han realizado evaluaciones a la seguridad informtica y por lo
tanto no existen polticas formales de seguridad.
Los objetivos del rea de sistemas como el departamento encargado
de resguardar la informacin esencial del negocio son:
Mejorar la plataforma tecnolgica con el fin de optimizar los
procesos operativos de la empresa.
Mantener la informacin disponible y generar nueva informacin
estadstica en base a la necesidad de la gerencia.
Mediante el uso de la tecnologa minimizar los costos operativos
y de los servicios.
Mantener el buen funcionamiento de los equipos de la red de
computacin y los programas.
Las actividades que lleva a cabo el rea de sistemas dentro de la
organizacin son las siguientes:
Control de Inventario.
Desarrollo de nuevas opciones en el sistema.

Soporte a los usuarios.
Mantenimiento de la red.
Mantenimiento de la base de datos.
Mantenimiento de la conexin a internet.
Control del consumo telefnico.
Control del uso de las impresoras.
Control de nuevas adquisiciones tecnolgicas por ejemplo
protectores electrnicos.
Correcciones en la base de datos como eliminaciones, cambio
de fechas a movimientos, previa autorizacin del jefe de rea y
gerencia.
Esquemas de seguridad mencionados anteriormente.

Existe un servicio de informtica que es ofrecido por un tercero, se
mantiene un contrato de outsourcing con INFOEXPRESS, quienes
son los encargados de ofrecer el servicio de mantenimiento a los
equipos dentro de la organizacin.
Los equipos con que cuenta la organizacin para el desarrollo de las
actividades de la empresa son lo suficientemente aptos para los
requerimientos de la compaa, tanto en capacidad de
procesamiento como en su almacenamiento.
4.6.1 Arquitectura informtica
4.6.1.1 Entorno de red de computadoras
La organizacin dispone de veinte y nueve equipos
integrados a la red dentro de los cuales estn los servidores
de produccin, desarrollo e internet y dems estaciones de
trabajo.
La empresa cuenta con una red LAN con conexin ethernet
10/100 base T con una topologa de red estrella, el medio de

transmisin que utilizan para comunicarse con las sucursales
del centro y Quito es va modem.
Su cableado es estructurado, con cables del tipo UTP
categora 5 y su proveedor de servicio de internet es
Telconet.
4.6.1.2 Equipos disponibles
En toda la organizacin se cuenta con veinte y nueve equipos
de cmputo distribuidos en todos los ocho departamentos
que conforman la empresa.
Dentro del rea de sistemas encontramos cuatro servidores
los cuales estn bajo la responsabilidad del jefe de sistemas,
con distintas funciones identificadas a continuacin:
Base de Datos
Firewall (propiedad de TELCONET)
IAC (propiedad de TELCONET)

Acceso de datos para la sucursal de Quito (propiedad de
TELCONET).
Adems cuentan con tres computadoras para uso de los
integrantes del rea, pero solo dos de ellos estn en
funcionamiento los cuales estn a cargo del jefe y asistente
de sistemas el tercer computador est destinado para el
auxiliar de sistemas puesto que est vacante actualmente;
tambin se encuentran de los equipos de red y comunicacin
un switch, un hub y dos modems.
4.6.1.3 Sistema Operativo
El sistema operativo instalado en los servidores de
produccin es Windows NT 4.0 Server pero el resto de
computadoras posee diferentes versiones de Windows (95,
98, ME, XP) de acuerdo a las capacidades de cada equipo.
4.6.1.4 Software de Sistemas y Utilitarios
4.6.1.4.1 Lenguajes de Programacin

En el rea de sistemas se manejan dos lenguajes de
programacin:
SQL Server versin 6.5 para los procesos en la Base de
Datos.
Power Builder versin 5.04 para hacer las interfases en
caso de mejoras de las aplicaciones.
4.6.1.4.2 Sistema de aplicacin
La empresa cuenta con un sistema administrativo financiero
llamado Spyral cuyos mdulos son:
Facturacin y Cuentas por Cobrar
Tesorera
Inventario
Contabilidad
Control de Bodegas
Reportes Estadsticos
Seguridad
4.6.1.4.3 Software Bsico y Utilitarios
La organizacin cuenta con los siguientes software bsico y
utilitarios como apoyo para el desarrollo de sus actividades:
Sistemas Operativos:
- Windows 95, 98, ME, XP, NT
- LINUX
Utilitarios:
- Office 97
- Outlook Express
- Mira scan
- Epson scan
- Microsoft SQL Server 6.5
- Acrobat reader
- CCT (software de control de consumo telefnico)
- Nero
- Antivirus: AVG, Norton 2005, Antivid
4.7 Identificacin de los riesgos
Una vez establecidos los objetivos y el alcance de este trabajo, se
desarrollaron cuestionaros para evaluar las seguridades existentes
(Ver Anexo 5 al 20) los cuales fueron respondidos por los dos
miembros del rea de sistemas y solo uno de ellos por el jefe de
recursos humanos que es a quin le corresponda debido a su fin.

De las respuestas obtenidas con las evaluaciones a las seguridades
informticas se pudo obtener las vulnerabilidades que originan los
factores de riesgo (Ver Anexo 21) a los que la empresa esta
expuesta. Estos factores de riesgo para el propsito de su anlisis
reflejan un criterio (Ver Anexo 22) formado a consecuencia de las
evidencias encontradas a raz de los cuestionarios.
4.8 Anlisis de riesgos
Para efectuar el anlisis de riesgos se llevaron a cabo los siguientes
pasos:
Ponderacin de los factores de riesgo.
Valoracin de los riesgos.
Matriz Descriptiva de Factores y Valoracin asociada a los
recursos informticos.
Matriz Ponderada de Factores y Valoracin asociada a los
Matriz Categorizada
4.8.1 Ponderacin de los factores de riesgo
Una vez identificados los factores de riesgo con la ayuda de
los integrantes del rea de sistemas se procedi a la
ponderacin en trminos porcentuales de los mismos (Ver
Anexo 23) dando a cada uno de ellos su valor de importancia
dentro de la organizacin:
Sistema de Control.
Nivel de sensibilidad.
Complejidad.
Materialidad.
Imagen.
Tiempo de realizacin de Auditoras previas.
Respuesta ante fallas (Planes de contingencia).

Todos estos factores de riesgos sern valorados de acuerdo
a los criterios por los cuales fueron escogidos.
4.8.2 Valoracin de los riesgos
Una vez que los riesgos han sido identificados procedemos a
valorarlos (Ver Anexo 24), definiendo una escala de riesgos
(Alto, Medio Alto, Medio Bajo y Bajo), dicha escala ser
asignada de acuerdo al nivel de riesgo que representa ese
factor basado en los criterios por el cual fue escogido como
riesgo para la organizacin.
4.8.3 Matriz Descriptiva de Factores y Valoracin asociada a
los recursos informticos.
Mediante la ayuda de una matriz denominada Descriptiva
(Ver Anexo 25) se confrontan los recursos informticos de la
empresa con los factores de riesgo determinados mediante
las evaluaciones a las seguridades. El puntaje que se le
asigna a cada recurso informtico al ser valorado con cada
factor de riesgo es dado bajo el criterio especificado en la
valoracin de los factores de riesgo.

4.8.4 Matriz Ponderada de Factores y Valoracin asociada a los
Para realizar est matriz definida como Matriz Ponderada
(Ver Anexo 26) nos ayudamos de la matriz creada
anteriormente que es la Matriz Descriptiva y le incluimos la
ponderacin de los factores de riesgo. Pero a diferencia de
la anterior matriz en esta calculamos un total de la siguiente
manera:
i. Multiplicamos la valoracin de cada recurso informtico
por su correspondiente ponderacin del factor de riesgo.
ii. Finalmente sumamos cada multiplicacin obteniendo un
total para cada recurso informtico.
Obteniendo este resultado determinamos el grado de
prioridad en el que estos riesgos deben ser mitigados por la
organizacin, considerando al de mayor puntaje como el ms
importante.
4.8.5 Matriz Categorizada
Finalmente para determinar que recursos informticos tienen
una prioridad de riesgo alto, medio y bajo realizamos est
matriz (Ver Anexo 26). Guindonos con los siguientes
pasos:
1. Ordenamos la columna total de mayor a menor.
2. Determinamos un rango que nos ayudar a encontrar un
tamao de intervalo para definir nuestra escala de
riesgo.
3. Establecemos la escala de riesgo, definiendo intervalos
para cada categora de riesgo y para una mejor
presentacin e identificacin se le aadi un color a
cada riesgo.
4.9 Polticas de Seguridad Informtica
Luego de haber concluido el anlisis de riesgo a la organizacin
procedimos a disear las polticas de seguridad informtica (Ver

Anexo 27) de acuerdo a la empresa y sus recursos para cumplir con
las directrices all expuestas.
El objetivo de esta poltica es la de establecer un marco para la
implantacin de seguridad y control que abarque a todas las reas
de la organizacin.
Est poltica cubrir las siguientes secciones de seguridad:
Seguridad fsica
Seguridad en el Outsourcing
Seguridad lgica
Seguridad en redes
Seguridad en los recursos humanos
Planificacin de seguridad informtica
Planificacin de contingencia y recuperacin de desastres.

4.10 Plan Estratgico de seguridad informtica
El plan estratgico de seguridad informtica es la culminacin de
este trabajo, una vez que realizamos el anlisis de riesgo y a raz de
estos resultados diseamos las polticas de seguridad informtica
que es la forma de mantener controlados los riesgos, procedemos a
la elaboracin del plan (Ver Anexo 28). Pero hay que dejar en claro
que est parte es desarrollada por la empresa ya que solo ella
sabr en que tiempo podr poner en prctica las polticas de
seguridad antes mencionadas.
El plan cubrir 8 objetivos:
1. Elaborar Polticas de seguridad informtica.
2. Implementar seguridades fsicas.
3. Mejorar la seguridad lgica.
4. Establecer seguridades en redes.
5. Fortalecer la seguridad en los Recursos Humanos.

6. Implantar medidas de seguridad en el outsourcing.
7. Implementar estrategias de continuidad.
8. Revisar el cumplimiento de las polticas de seguridad
informtica.
Estos objetivos sern realizados por la empresa dentro del perodo
de un ao. Cada objetivo est formada por los puntos que la
empresa desea implementar, adems de incluir a los cargos
responsables de llevarlos a cabo, alcance y fecha de realizacin de
cada objetivo en la organizacin.

CONCLUSIONES
Orientadas a las Empresas
1. Las herramientas de tecnologa evolucionan con el pasar del tiempo
volvindose inseguras en la medida que su utilizacin no sea la ms
adecuada en la organizacin, convirtindose as en objeto de amenazas.
2. Hoy en da en toda empresa es una necesidad ms frecuente utilizar
esquemas de seguridad fuertes, que permitan una mayor confiabilidad de la
informacin utilizada para la toma de decisiones.
3. La incomprensin de la Gerencia que conlleva a la falta de apoyo
econmico a la gestin de informtica para implantar medidas de seguridad,
provoca que la entidad tenga una exposicin mayor a los riesgos.
4. La seguridad de la informacin es una responsabilidad compartida de
todos los niveles de la organizacin, que requiere del apoyo de todos ellos
pero debe estar dirigida por un plan y con la adecuada coordinacin.

Orientadas al Tema de Tesis
5. El avance de la tecnologa y del conocimiento de los seres humanos ya
sean usadas con buena o mala intensin, vuelven ms vulnerable a la
informacin exponindola a diversas amenazas tanto internas como externas
y volvindola poco confiable.
6. La evaluacin de seguridad informtica realizada a la empresa AGROPEC
S.A. dio a conocer a todo el recurso humano que en ella laboran los riesgos
a los que est expuesta la informacin y que directa o indirectamente ellos
colaboran para que estos aumenten.
7. La elaboracin de este trabajo de tesis, contribuyo a que la empresa
AGROPEC S.A. tome conciencia de cuan importante es que la informacin
sea confiable, integra y disponible para la organizacin ya que vieron que si
cualquiera de estas caractersticas sufriera alteraciones conllevara a
resultados nefastos para la entidad.
Orientadas a los Estudiantes
8. El fin de este trabajo es el de contribuir sirviendo como una gua para
todos aquellos que deseen emprender el reto que es mantener
razonablemente segura la informacin y me refiero de esa manera porque
no existe la seguridad total.

9. Con este trabajo se desea fomentar una cultura de seguridad en todos
aquellos que lo consulten y deseen ponerlo en prctica.

RECOMENDACIONES
Orientadas a las Empresas
1. Definir polticas de seguridad clara. No solo por los riesgos derivados de
los equipos de computacin o de los servicios que brinda el rea de
sistemas, sino tambin por las prdidas de productividad que puede generar
un incidente de seguridad
2. Se recomienda establecer en las organizaciones la administracin de
seguridad informtica, es decir involucrar a todos los Jefes de reas en la
administracin de la seguridad con el debido apoyo total del Departamento
de Sistemas
3. Fomentar la conciencia del empleado para garantizar que no haya fuga de
informacin.
4. Realizar Auditorias a la seguridad informtica de sus empresas para tener
un conocimiento de sus vulnerabilidades y que procedimientos seguir para
minimizar los riesgos.

5. Invertir en la capacitacin del empleado en medidas de seguridad
informtica.
6. Proporcionar al rea de sistemas en lo posible los recursos necesarios
para mantener la seguridad informtica en la empresa.
Orientadas al Tema de Tesis
7. Dentro del Departamento de sistemas debe existir alguien o un grupo de
personas cuyas funciones sean las de administrar la seguridad informtica
en la empresa.
8. Se debe reubicar el Departamento de Sistemas teniendo en cuenta que el
rea no est prxima a corredores de alto trfico de personas.
9. La empresa AGROPEC S.A. deber realizar un anlisis de riesgo cada
cierto tiempo. Este periodo de tiempo deber establecerse segn el impacto
de riesgo en el que se encuentre la organizacin.
10. El personal encargado de la seguridad deber monitorear
constantemente los factores de riesgos existentes en la organizacin.

11. Debern crearse Polticas de seguridad en base a los resultados del
anlisis de riesgo. Estas polticas sern claras para el correcto
entendimiento y de conocimiento de todo el personal.
12. Implantar las polticas de seguridad recomendadas en este trabajo.
13. Disear un plan estratgico de seguridad siguiendo la gua que este
trabajo propone.
14. La Gerencia de la empresa AGROPEC S.A. deber sancionar al personal
que viole la poltica de seguridad.
15. Actualizar el Plan de Seguridad de Informacin con cada evaluacin de
riesgo de la empresa.
16. Las personas que estn involucradas en el plan estratgico de
seguridad deben estar realmente comprometidas con la ejecucin del mismo.
17. La Gerencia debe brindar apoyo completo para la implementacin de
este plan estratgico de seguridad informtica.
Orientadas a los Estudiantes

18. Debido a que la tecnologa de informacin avanza y con ellos
incrementan los riesgos hacia la informacin, debemos estar en constante
capacitacin para tener conocimiento de que medidas emplear para afrontar
esos riesgos.

TESIS María Gabriela Hernández Pinto

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TESIS María Gabriela Hernández Pinto

Cargado por

Copyright:

Formatos disponibles

ESCUELA SUPERIOR POLITCNICA DEL LITORAL

Instituto de Ciencias Matemticas

Diseo de un Plan Estratgico de Seguridad de Informacin en

AUDITOR EN CONTROL DE GESTIN

Mara Gabriela Hernndez Pinto

A Dios, a mi mamita Albita y a

mi papito Pinto quienes

siempre han confiado en m y

me han dado su apoyo

Ivn, a Maruja, a mi familia y

a todas las personas que me

ayudaron para culminar mi

A mi Directora de Tesis por

A Dios, a mi mamita Albita, a

hermano Ivn, a Maruja, a

todos los que formamos la

familia Pinto, a Nelly, Fanny,

Lady, Pamela, Mariella, Lus,

Manuel, Beto y a todos mis

amigos quienes siempre de

alguna manera me ayudaron

Ing. Washington Armas Ing. Alice Naranjo

Ing. Dalton Noboa

La responsabilidad del contenido de esta

Tesis de Grado, me corresponde

exclusivamente; y el patrimonio intelectual

de la misma a la ESCUELA SUPERIOR

POLITCNICA DEL LITORAL

(Reglamento de Graduacin de la ESPOL).

Mara Gabriela Hernndez Pinto

El contenido de este trabajo ayudar a las organizaciones comerciales a

tener una concienciacin permanente de mantener seguros sus activos,

o relacionados con ste para que la organizacin funcione correctamente y

alcance los objetivos propuestos por su direccin.

La meta de obtener un nivel considerable de seguridad se lograr con la

propuesta que ofrece este proyecto mediante el Diseo de un Plan

Estratgico de Seguridad de Informacin que puede ser aplicado por

entidades dedicadas a cualquier tipo de actividad comercial que se

proponga llevarlo a cabo. Este trabajo se desarrollar en los siguientes

captulos descritos a continuacin.

En el primer captulo se da a conocer la importancia, valor, razones de

vulnerabilidades y vulnerabilidades de la informacin para formarnos un

criterio del por qu es necesario mantenerla segura. En el segundo captulo

se desarrollar tericamente el objetivo de este proyecto. En el tercer

captulo se da una breve descripcin de las normas y estndares

internacionales aplicables para el desarrollo de este tema. En el cuarto

captulo lleva a la prctica este proyecto. Finalmente se dan a conocer las

conclusiones y recomendaciones de la prctica realizada para este trabajo.

2.1 Importancia de la seguridad de informacin.2

2.2 Valor y costo de la informacin para las empresas.7

2.3 Razones de vulnerabilidades de los sistemas........9

3.1 Evolucin histrica de la seguridad .16

3.2 Qu es seguridad informtica?.....................................................18

2.2.1 Definicin de seguridad.19

2.2.2 Definicin de informtica...20

2.2.3 Definicin de seguridad informtica....20

2.2.5.1 Tipos de amenazas a la seguridad ..........23

2.2.5.1.1 Amenazas humanas..25

2.2.5.1.2 Amenazas por desastres naturales.26

2.2.5.2 Cmo enfrentar los riesgos?........................................27

2.2.6 Plan estratgico de seguridad informtica.....28

2.2.6.1 Evaluacin de los riesgos....28

2.2.6.1.1 Identificar riesgos...29